脆弱性診断とは?
必要性や選定ポイントなどを解説
Webサイト、ECサイト、会員サイト、社内システムは、公開後も機能追加や設定変更を重ねることで、意図しないセキュリティ上の弱点が生まれることがあります。脆弱性診断は、攻撃を受ける前にそうした弱点を洗い出し、情報漏えい、不正ログイン、改ざん、サービス停止につながるリスクを優先度付きで確認する取り組みです。
本記事では、脆弱性診断の基本、実施すべきタイミング、診断の種類、ベンダー選定時の確認ポイント、見積もり前に準備しておきたい情報まで、初めて依頼する担当者にも分かりやすく解説します。
脆弱性診断とは、目的と必要性
脆弱性診断とは、Webアプリケーション、サーバー、ネットワーク機器などを対象に、攻撃につながる可能性がある設定不備、設計・実装上の問題、既知脆弱性の有無を確認するセキュリティチェックです。
単に「問題があるか」を確認するだけでなく、悪用された場合の影響度、改修の優先順位、再診断の必要性まで整理することで、実際の改善につなげることが目的です。Webサイトやシステムを安全に運用し続けるための点検として、公開前・改修後・定期運用時に実施されます。
脆弱性とは
脆弱性とは、攻撃者に悪用されるおそれがあるシステム上の弱点です。たとえば、本来アクセスできない情報を第三者が閲覧できる、ログイン権限のない利用者が管理機能を操作できる、古いOSやミドルウェアに既知の欠陥が残っている、管理画面が想定外の範囲に公開されている、といった状態が該当します。
脆弱性は、Webアプリケーション、サーバー、OS、ミドルウェア、ネットワーク機器、クラウド設定、APIなど、複数のレイヤーで発生します。開発時の実装ミスだけでなく、運用中の設定変更、ソフトウェアの更新漏れ、新しい攻撃手法の登場によって、公開後にリスクが顕在化することもあります。
また、修正プログラムや対策情報が公開された後でも、対応が遅れた環境は攻撃者に狙われる可能性があります。既に知られている脆弱性を悪用されないためにも、定期的に診断を行い、自社システムに残っている弱点を把握することが重要です。
その為、ソフトウェアに脆弱性が発見された場合、一般的には当該ソフトウェアの開発会社等が脆弱性の修正プログラム(パッチ)を作成しセキュリティ対応機関等と連携するか、または脆弱性対策情報として脆弱性の内容とパッチや対策方法を公開し、当該ソフトウェアの利用者へ対策を促します。しかし、その公開された脆弱性情報を攻撃者が入手し、攻撃コード等を作成し、パッチ適用等の対策を実施していないソフトウェアに対して脆弱性を悪用した攻撃を行うことがあります。これが「ゼロデイ攻撃」や「Nデイ攻撃」と呼ばれています。
脆弱性診断の目的、必要性
脆弱性診断の目的は、リスクを見つけることだけではありません。発見された脆弱性が、情報漏えい、不正ログイン、権限昇格、データ改ざん、サービス停止などにどの程度つながるのかを整理し、限られた予算や開発リソースの中で、どこから直すべきかを判断できる状態にすることが重要です。
IPAの「情報セキュリティ10大脅威 2025」でも、組織向け脅威としてランサム攻撃、サプライチェーンや委託先を狙った攻撃、システムの脆弱性を突いた攻撃が上位に挙げられています。攻撃の入口となる弱点を放置すると、自社だけでなく取引先や利用者にも影響が広がるおそれがあります。
そのため脆弱性診断は、単なるセキュリティチェックではなく、事業を止めないためのリスク管理の一部として実施することが大切です。診断結果をもとに優先順位を付けて改修し、必要に応じて再診断で対策状況を確認することで、継続的なセキュリティ改善につなげられます。(※1)
システム停止や情報漏えい、不正アクセス、データ改ざん(悪質なデータの書き換え)に繋がるような脆弱性が潜んでいないか徹底的に調査し払拭し、安全な環境、安全なWebサイトの維持し続けることは、あらゆる組織で必要ではないでしょうか。そのため、脆弱性診断はどの業種でも、企業規模でも必要とされています。脆弱性診断は業種や企業規模に限らず、必要とされています。
サイバー攻撃のターゲットは大企業だけに留まらず、中小・零細企業に対象範囲が変化してきている
帝国データバンクのアンケート調査(※2)によると、サイバー攻撃を「1カ月以内に受けた」企業は、「大企業」で33.7%、「中小企業」で27.7%、うち「小規模企業」では26.4%となりました。
資金力のある大企業がランサムウェア(身代金要求型ウイルス)の対象として狙われることは予測され、その為に中小企業を経由して大企業の情報を窃取する事案も多く、企業規模が小さくても狙われる危険性にあまり大差がないことがわかります。
脆弱性診断は、実施することが目的ではない
脆弱性診断では、診断員が対象の環境に疑似攻撃をし脆弱性の有無の確認するだけでなく、その危険性のレベルを数段階で評価付けします。その結果によって講じるべき対策を見つけることができます。
例えば、「容易に攻撃できてしまうが危険度は低い脆弱性」よりも、「攻撃することは難しいが危険度が高い脆弱性」を優先してシステム改修をするという判断が可能です。
診断を実施するだけでなく、検出されたリスクを見直し改善することが重要です。
(※1)IPA「情報セキュリティ 10 大脅威」
https://www.ipa.go.jp/security/10threats/index.html
(※2)帝国データバンク「サイバー攻撃に関する実態アンケート」
https://www.tdb.co.jp/report/watching/press/p220306.html
脆弱性診断のリスクや事例
脆弱性を放置すると、攻撃者に不正アクセスの入口を与えてしまう可能性があります。被害の内容はシステムの種類によって異なりますが、情報漏えい、サービス停止、データ改ざん、不正ログイン、ランサムウェア感染など、事業継続に影響するインシデントにつながるおそれがあります。
ECサイト・会員サイトで想定されるリスク
ECサイトや会員サイトでは、個人情報、ログイン情報、注文履歴、決済に関する情報など、利用者に関わる重要なデータを扱います。入力フォームや認証機能、決済連携部分に脆弱性があると、情報漏えいやなりすまし、不正注文、クレジットカード情報の不正利用につながる可能性があります。
公開サーバー・ネットワーク機器で想定されるリスク
公開サーバーやVPN機器、ルーター、ファイアウォールなどに既知脆弱性や設定不備が残っていると、外部からの侵入経路として悪用されることがあります。侵入後に内部ネットワークへ横展開されると、重要ファイルの暗号化、業務システムの停止、機密情報の流出といった被害に発展するおそれがあります。
被害発生後にかかる対応コスト
インシデントが発生した場合、原因調査、復旧作業、再発防止策の実施、関係者への説明、顧客対応、法的対応など、多くのコストが発生します。さらに、サービス停止による機会損失や企業イメージの低下など、金銭換算しにくい損害が生じることもあります。
脆弱性診断は、こうした被害が起きてから対応するのではなく、攻撃につながる入口を事前に見つけ、優先度を付けて対策するために有効です。
「ダークウェブとは?」https://www.secure-iv.co.jp/blog/9484
脆弱性診断を実施するタイミング、頻度
脆弱性診断は、年1回程度の定期診断に加えて、システムの状態が変わるタイミングで実施を検討します。公開後も新しい脆弱性が発見されたり、設定変更によってリスクが生まれたりするため、継続的な確認が必要です。
特に、以下のようなタイミングでは脆弱性診断を検討するとよいでしょう。
- 新規サービスやWebサイトを公開する前
- ログイン、決済、個人情報入力など重要機能を追加したとき
- 大規模なシステム改修やリニューアルを行った後
- OS、ミドルウェア、CMS、プラグインなどを更新した後
- クラウド設定やネットワーク構成を変更した後
- インシデント発生後、再発防止策の有効性を確認したいとき
脆弱性診断サービスの種類「Webアプリケーション」「プラットフォーム」
脆弱性診断は、診断対象によって大きく「Webアプリケーション診断」と「プラットフォーム診断」に分けられます。どちらを選ぶべきか迷う場合は、診断したい対象が「画面や機能」なのか、「サーバーやネットワーク」なのかで整理すると判断しやすくなります。
| 種類 |
|---|
| 主な診断対象 |
| 確認するリスクの例 |
| Webアプリケーション診断 |
| ログイン画面、問い合わせフォーム、会員ページ、ECサイト、管理画面、APIなど |
| 認証・認可の不備、SQLインジェクション、XSS、セッション管理の不備、ファイルアップロード機能の不備など |
| プラットフォーム診断 |
| サーバー、OS、ミドルウェア、ネットワーク機器、公開IPアドレス、クラウド環境など |
| 既知脆弱性、不要なポートの公開、暗号化設定の不備、DNS設定不備、不要サービスの稼働など |
(※3)IPA「ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第4四半期(10月~12月)]」
https://www.ipa.go.jp/security/vuln/report/vuln2022q4.html
脆弱性診断手法について①
ツール診断・手動診断・ハイブリッド診断
脆弱性診断の手法には、ツール診断、手動診断、両方を組み合わせたハイブリッド診断があります。それぞれ得意な確認範囲が異なるため、費用だけでなく、診断対象の重要度や求める精度に応じて選ぶことが大切です。
ツール
ツール診断は、既知の脆弱性や設定不備を効率よく確認しやすい一方で、業務ロジックや権限管理のように、システム固有の仕様を踏まえた確認は苦手な場合があります。
手動診断は、診断員が画面遷移や利用者権限、入力値の扱いなどを確認しながら進められるため、ツールだけでは判断しにくいリスクを見つけやすい点が特徴です。
セキュアイノベーションの脆弱性診断では、ツールによる確認とセキュリティエンジニアによる検証を組み合わせ、誤検知を抑えながら実際の改善判断に使いやすい診断結果の提供を目指します。
手動
「マニュアル診断」と呼ばれることもありますが、「手動」という言葉の通り、専門知識を持つセキュリティエンジニアが自身の目で確認しながら診断を行う方法です。 ツールと違って診断員が対応するため、柔軟に対応でき精度が高いことが最大のメリットです。
一方でデメリットは、手動で実施するという性質上診断に多くの時間を要し、その分費用が高額になってしまうのが一般的です。また、対応する診断員によって診断結果が異なります。経験や知識が豊富なベテラン診断員が対応するのと、まだ経験値が低いスキルが足りない診断員が対応するのとでは、結果に差が出てしまうことが予測されます。
以上のメリット・デメリットをまとめると以下のようになります。
| ツール | 手動 | |
| 脆弱性診断結果の精度 | △ 誤検知が発生しやすい |
◎ 人の目で確認するため、精度は高い(しかし診断員のスキルに依存する) |
| 網羅性 | △ ツールの仕様による |
◎ 柔軟な対応が可能 |
| スケジュール | ◎ 手動より圧倒的にスピードは早い |
○ ツールの処理速度には劣る |
| 費用 | ◎ 人件費があまりかからない |
△ 診断員の人件費が含まれる |
ツール&手動 ★おすすめ★
このようにツール診断と手動ではそれぞれ長所・短所があるため、お互いの短所を補うように手法を組み合わせるハイブリッド診断が一般的には望ましいです。
対応スピードやコスト面を考慮して基本的にはツールで診断し、精度や網羅性を上げるために補完する形で診断員が手動で診断する方法です。
脆弱性診断手法について②
「リモート診断」と「オンサイト診断」
リモート診断
リモート診断は、インターネット経由でアクセスできるWebサイトや公開サーバーを対象に、外部の攻撃者に近い視点で確認する方法です。オンサイト診断は、社内ネットワークや外部公開していない環境など、現地または内部ネットワークからの確認が必要な場合に検討します。
診断方法は、対象システムの公開範囲、ネットワーク構成、診断中の業務影響、必要な権限によって変わるため、見積もり時点で要件を整理しておくことが重要です。
オンサイト診断
リモート診断では外部から接続するのに対し、オンサイト診断は内部から診断します。リモート診断に比べて対象の内側からも様々な情報を取得できるため、より細部まで診断が可能となります。しかし診断員が現地へ赴く必要があるため、その分サービス料が高くなる可能性があります。
脆弱性診断とペネトレーションテストの違い
脆弱性診断とペネトレーションテストは、どちらもセキュリティ上のリスクを確認する手法ですが、目的が異なります。脆弱性診断は、診断対象に存在する弱点をできるだけ網羅的に洗い出し、改善につなげることが目的です。
一方、ペネトレーションテストは「管理者権限の取得」「重要情報への到達」など、あらかじめ設定したゴールに対して、攻撃シナリオが成立するかを検証します。広く弱点を把握したい場合は脆弱性診断、特定の攻撃シナリオに対する耐性を確認したい場合はペネトレーションテストが向いています。
脆弱性診断は、攻撃のきっかけやヒントとなる弱点をより多く見つけるための網羅的な検査に比べて、ペネトレーションテストではシステムの内部に深く侵入したり、管理者権限の奪取、クラウドサービスから重要なファイルを探し出すなど、攻撃者と同様あらゆる技術ツールを用いて検証します。ここで活躍するのが、悪意のあるハッカーに立ち向かう正義の「ホワイトハッカー」です。
留意点としては、手動での脆弱性診断のように、実行する人の経験の差によって結果が異なるため、ホワイトハッカー個人のスキルに依存してしまう面があります。
このようなペネトレーションテストも含めて実施するのか、含める必要がないのか、またはあえて脆弱性診断を依頼した業者以外の専門業者に委託するのか等、予算に合わせた検討をお勧めします。
「何が違う?脆弱性診断とペネトレーションテスト」https://www.secure-iv.co.jp/blog/5363
脆弱性診断サービス比較・業者選びのポイント
脆弱性診断サービスを選ぶ際は、価格だけでなく、診断範囲の設計力、診断員のスキル、診断手法、報告書の分かりやすさ、改修後のフォロー体制まで確認することが大切です。特に、診断後に「何を優先して直せばよいか」が分からないと、せっかくの診断結果を改善に活かしきれません。
第三者基準や認証登録の有無
セキュリティ診断では、診断会社が対象システムへアクセスするため、技術力だけでなく管理体制も確認が必要です。経産省「情報セキュリティサービス基準」など、一定の基準に基づいた登録や認証の有無は、サービス品質や管理体制を確認する材料になります。
見積もり時には、登録・認証の有無だけでなく、どのサービスが対象なのか、診断の実施体制や情報管理の方法まで確認しておくと安心です。
診断員のスキルとレビュー体制
脆弱性診断の品質は、使用するツールだけでなく、診断員の知識や経験、検出結果を確認するレビュー体制にも左右されます。認定脆弱性診断士などの資格保有者が在籍しているか、経験のあるエンジニアが結果を確認する体制があるかを確認しましょう。
また、診断員によって判断がぶれないよう、診断手順や報告書レビューの仕組みが整っているかも重要です。
認定脆弱性診断士(セキュリスト)
実は、脆弱性診断をする診断員として必ず取得するべき資格はありません。その為、様々な機関が診断士として認定するトレーニングや資格を用意しています。
今回取り上げた認定脆弱性診断士(セキュリスト)とは、情報システムのセキュリティテストの知識や技術の習得と、そのスキルを客観的に証明する仕組みです。企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、グローバルセキュリティエキスパート株式会社(以下、GSX社)が開発した教育カリキュラムです。
脆弱性診断には、システムが十分に安全であるかを確認する「検査的な側面」と、安心して利用できるシステムであるかを保証する「監査的な側面」があります。しかし、脆弱性を洗い出すために必要な技術やスキルは明示されておらず、さらに確認した技術者がシステムの安全を保障できるだけのスキルを有しているかを第三者が判断するのは困難でした。そこでGSX社がシステムの脆弱性を判断する各種項目と判断に必要な知識・スキルを明確化、認定資格制度とすることで、システムの安全性を証明するひとつの指標を策定しています。
認定脆弱性診断士(セキュリスト)の詳細
https://www.gsx.co.jp/services/securitylearning/securist/webappnwsecuritytesting.html
こちら以外にも脆弱性診断員に関する資格がありますので、ぜひ参考にしてみてください。
診断手法と診断範囲の明確さ
同じ「脆弱性診断」という名称でも、ツール診断中心なのか、手動確認を含むのか、どの範囲まで確認するのかはサービスによって異なります。比較する際は、診断対象、診断項目、手動確認の範囲、対象外となる機能、速報連絡の有無を確認しましょう。
- 診断対象の洗い出しから相談できるか
- ツール診断と手動確認の範囲はどこまでか
- ログイン後画面、管理画面、APIも対象に含められるか
- 高リスクの脆弱性が見つかった場合、速報連絡はあるか
- 報告書には影響度、リスクレベル、改修方針が記載されるか
- 改修後の再診断や報告会に対応しているか
前述の通り、本記事では手動も組み合わせたハイブリッド診断をおすすめします。ツールのみによる脆弱性診断は、「早い」「安い」が魅力のため、一般的な疑似攻撃の定義を診断する程度で良いのかなど、要望に合わせて選択してください。
脆弱性診断項目
デジタル庁が、デジタル社会推進標準ガイドライン群のひとつとして、「政府情報システムにおける脆弱性診断導入ガイドライン」を公開していますので、診断項目の参考としてご紹介いたします。
診断項目は、単に数が多ければよいわけではありません。重要なのは、対象システムの機能や取り扱う情報に応じて、どのリスクを重点的に確認すべきかを設計することです。
たとえば、ログイン機能がある場合は認証・認可やセッション管理、入力フォームが多い場合はインジェクションやXSS、ファイルアップロード機能がある場合は拡張子・MIMEタイプ・保存先の制御などを重点的に確認します。
Webアプリケーション診断(一例)
| 脆弱性種別 | 備考 | |
|---|---|---|
| 1 | SQLインジェクション | |
| 2 | OSコマンドインジェクション | |
| 3 | クロスサイトスクリプティング(XSS) | HTMLインジェクション、CSSインジェクション、DOM based XSS 等を含む |
| 4 | メールヘッダインジェクション | |
| 5 | HTTPヘッダインジェクション(CRLFインジェクション) | |
| 6 | evalインジェクション | |
| 7 | その他のインジェクション | サーバサイドテンプレートインジェクション(SSTI)、相対パスによる上書き(Relative Path Overwrite)等をむ |
| 8 | ディレクトリトラバーサル(パストラバーサル) | ローカルファイルインクルージョン(LFI)を含む |
| 9 | セッション管理の不備 | 推測可能なセッション、セッションの盗用、セッションの固定化(セッションフィクセーション)、Cookieの管理不備等を含む |
| 10 | アクセス制御(認証制御)と認可処理の不備 | 認証回避、ログアウト機能の不備、脆弱なパスワードポリシー、パスワードリセットの不備、復元可能なパスワード保存等を含む |
| 11 | クロスサイトリクエストフォージェリ(CSRF) | |
| 12 | クリックジャッキング | |
| 13 | レースコンディション | |
| 14 | バッファオーバーフロー | 整数オーバーフローを含む |
| 15 | ファイルアップロードに関する不備 | 圧縮ファイルの取り扱い(ZIP Bombs 等)を含む |
| 16 | セキュリティの設定ミス | |
| 17 | オープンリダイレクト | |
| 18 | 安全でないデシリアライゼーション | |
| 19 | サーバサイドリクエストフォージェリ(SSRF) | |
| 20 | クロスサイトウェブソケットハイジャッキング(CSWSH) | |
| 21 | XML外部エンティティ参照(XXE) | |
| 22 | その他の情報漏えいにつながる脆弱性 | エラーメッセージやキャッシュからの情報漏えい等を含む |
プラットフォーム診断(一例)
| 脆弱性種別 | 備考 | |
|---|---|---|
| 1 | 脆弱なソフトウェアの利用 | 既知脆弱性の有無を確認 |
| 2 | 不要なポート、サービス、アカウントの存在 | |
| 3 | 公開ディレクトリ、ストレージへの非公開情報の保存 | 公開不要なファイルの存在等を確認 |
| 4 | DNSの設定不備 | オープンリゾルバ、ゾーン転送の設定不備等を確認 |
| 5 | 暗号化されていない、または脆弱な暗号による通信 | |
| 6 | サーバ証明書の不備 | |
| 7 | サーバソフトウェアの設定不備 | 初期パスワードの利用、ディレクトリリスティング等を確認 |
デジタル庁「DS-221 政府情報システムにおける脆弱性診断導入ガイドライン」
https://www.digital.go.jp/resources/standard_guidelines/#ds221
脆弱性診断時間
場合によっては、脆弱性診断の作業期間中アプリケーションやネットワーク、サーバ等に負荷がかかり、一時的にサービスが不安定になる可能性があります。そのため、日中は避けて夜間や土日など利用者が少ない時間帯で依頼した方が良いのか、その場合は指定した日程で対応可能なのか確認が必要です。(平日日中での作業に比べ、人件費で見積もり額が上がる可能性は高いです)
また、開発段階の環境の場合は、あまり診断時間を気にしない場合が多いです。
報告書(レポート)
脆弱性診断の報告書は、検出結果を一覧にするだけでなく、開発・運用担当者が次の対応に移れる内容であることが重要です。確認すべきポイントは、脆弱性の概要、再現条件、想定される影響、リスクレベル、改修方針、優先順位が整理されているかどうかです。
また、経営層や情報システム部門、開発ベンダーなど、報告書を見る関係者によって必要な情報の粒度は異なります。事前にサンプルを確認し、自社の改修判断に使いやすい内容かを見ておくと安心です。
アフターフォロー(報告会、再診断など)
診断後は、報告書の内容を確認し、リスクが高いものから優先的に改修します。報告書だけでは判断しづらい場合に備えて、報告会や質問対応があるかを確認しておきましょう。
改修後は、問題が解消されているかを確認するために再診断を行うことが望ましいです。特に、認証・認可、個人情報の取り扱い、決済機能など重要度の高い箇所で脆弱性が見つかった場合は、再診断まで含めて計画しておくと安心です。
価格
脆弱性診断の費用は、診断対象の数、画面数、リクエスト数、IPアドレス数、診断方法、実施時間帯、報告会や再診断の有無によって変わります。複数社で見積もりを比較する場合は、金額だけでなく、診断範囲、手動確認の有無、報告書の内容、改修後フォローまで含めて確認しましょう。
費用を抑えたい場合でも、重要な機能や公開範囲を診断対象から外してしまうと、本来確認すべきリスクを見落とす可能性があります。価格の安さだけで判断するのではなく、自社の目的に対して必要な診断範囲が含まれているかを確認することが大切です。
脆弱性診断サービスの流れ
脆弱性診断を依頼する場合は、一般的に「相談・ヒアリング」「診断範囲の整理」「見積もり」「診断実施」「報告書提出」「改修・再診断」の流れで進みます。事前に必要な情報を整理しておくことで、見積もりや診断日程の調整がスムーズになります。
1. 相談・ヒアリング
まずは、診断したい対象や目的を整理します。Webアプリケーション診断の場合は、対象URL、ログイン機能の有無、画面数、テストアカウント、診断希望時期などを確認します。プラットフォーム診断の場合は、対象IPアドレス、サーバーやネットワーク機器の情報、外部公開の有無、診断可能な時間帯などを確認します。
2. 診断範囲の整理・見積もり
ヒアリング内容をもとに、診断対象、診断方法、手動確認の範囲、実施条件を整理し、見積もりを行います。契約前に詳細情報を共有する必要がある場合は、秘密保持契約を締結して進めるケースもあります。
Webアプリケーションの脆弱性診断を依頼する前に準備しておくとよい点
| Webサイトのドメイン数 |
|---|
| FQDN(ドメイン名 + ホスト名) |
| Webサイトのページ数 |
| ・画面遷移数 ・リクエスト数 ・パラメータ数 ※これらはシステム開発時に作成される画面遷移図やワイヤーフレームなど、画面構成が分かる資料に記載されていることが多いですが、診断前にはクローリング作業をし正確に計量します。 |
| Webサイトの特徴等 |
| 会員制のWebサイト、商用CMS使用等の特徴等 |
| ツール診断と手動診断の選択 |
| 各手法のメリット・デメリットを把握した上で選択 |
| 診断する時間帯の指定有無 |
| 本番環境の場合、避ける時間帯があるのかの確認 |
| リモート診断、オンサイト診断の選択 |
| オンサイト診断の必要があるのか確認 |
プラットフォーム診断を依頼する前に準備しておくとよい点
| グローバルIPアドレス数 |
|---|
| プライベートアドレス数 (ローカルIPアドレス) |
| 社内LANなど内部サーバの場合に必要 |
| 機器のOS、ミドルウェア等の情報 |
| ルータ、ファイアウォール、IDS/IPS等 |
| リモート診断、オンサイト診断の選択 |
| オンサイト診断の必要があるのか確認 |
3.診断実施
診断期間中は、対象システムに対して疑似攻撃や確認作業を行います。本番環境で診断する場合は、事前にバックアップを取得し、関係者へ周知したうえで、業務影響を避けたい時間帯を共有しておくと安心です。緊急性の高い脆弱性が見つかった場合に速報連絡があるかも、事前に確認しておきましょう。
4.報告書提出・結果確認
診断後は、検出された脆弱性、想定される影響、リスクレベル、改修方針などをまとめた報告書が提出されます。内容に不明点がある場合は、報告会や質問対応を通じて確認します。
5.改修・再診断
報告書の内容をもとに、リスクが高いものから優先的に改修します。改修後は、問題が解消されているかを確認するため、再診断を行うと安心です。診断して終わりではなく、改善までつなげることが重要です。
脆弱性診断についてよくある質問
脆弱性診断の項目はどのように選んだ方が良い?
代表的なセキュリティ団体が必要な診断項目を掲げていますので、参考にしてみてください。
- OWASP Top 10
Open Web Application Security Project(国際ウェブセキュリティ標準機構) - PCI DSS
Payment Card Industry Data Security Standard(クレジットカード業界における国際セキュリティ基準)
OWASP Top 10ってなに? https://www.secure-iv.co.jp/blog/612
最新の「PCI DSS v4.0」とセキュリティ対策 https://www.secure-iv.co.jp/blog/8726
画面遷移数とリクエスト数の違いは?
リクエスト数とは、実際にWebブラウザから対象のWebアプリケーションに対して発生するHTTPリクエスト数を指します。実際に発生するHTTPリクエストをカウントするため、非同期通信やシングルページアプリケーションなど、画面が変わらない場合もカウントするため、画面遷移数よりも診断対象の漏れを防ぐことができます。
脆弱性診断を依頼する前に準備する資料は?
Webアプリケーション診断では、対象URL、ログイン情報、画面遷移図、テストアカウント、診断対象外にしたい機能、診断希望期間などを整理しておくと見積もりがスムーズです。プラットフォーム診断では、対象IPアドレス、サーバーやネットワーク機器の情報、診断可能な時間帯を確認しておくとよいでしょう。
本番環境でも脆弱性診断はできますか?
本番環境で診断するケースもあります。ただし、診断内容によっては一時的に負荷がかかる可能性があるため、事前にバックアップ取得、関係者への周知、避けたい時間帯の共有を行うことが重要です。
脆弱性が見つかった後は何をすればよいですか?
報告書の内容をもとに、リスクが高いものから優先的に改修します。改修後は、問題が解消されているかを確認するために再診断を行うと安心です。
脆弱性診断の見積もり金額は何で変わりますか?
見積もり金額は、診断対象のURL数、画面数、リクエスト数、IPアドレス数、診断方法、手動確認の範囲、実施時間帯、報告会や再診断の有無によって変わります。複数社で比較する場合は、金額だけでなく診断範囲や報告書の内容も確認しましょう。
当社の脆弱性診断サービス
脆弱性診断の対象範囲や見積もり条件に迷う場合は、早い段階で専門事業者に相談することで、必要な診断範囲を整理しやすくなります。セキュアイノベーションでは、Webアプリケーション診断やプラットフォーム診断に対応し、診断結果だけでなく、リスクレベルや対策の考え方を整理したレポートを提出しています。
初回診断後の再診断が1回無料のため、改修後の確認まで含めて相談しやすい点も特徴です。診断対象や見積もりに必要な情報が分からない場合も、お気軽にご相談ください。
特徴
- 専任スタッフによる効率的な脆弱性診断で低価格の費用感を実現
- 経産省「情報セキュリティサービス基準」登録事業社として審査認証いただき、一定の技術要件及び品質管理要件を満たしたサービス
- 脆弱性診断士の資格保持者が多数在籍
- 高品質な脆弱性診断レポート
- 再診断が1回無料
診断実績1500社以上!
有資格エンジニアによる
脆弱性診断サービス
資格を持ったセキュリティエンジニアが検証。
さらに高品質なツールを使い、
必要性や網羅性の高いセキュリティ項目を診断します。
LOADING...
セキュアイノベーション サービス一覧
