はじめに

サイバー攻撃による企業の被害件数は年々増加傾向にあり、個人情報を扱っている企業にとって、不正アクセス等による情報漏えいが起きてしまった場合、信用の失墜、ブランド力の低下など、ビジネス面でも致命的な影響を及ぼす可能性があります。

サイバー攻撃から自社サービスを守るためには、まず「脆弱性」を見つけることがセキュリティ対策の第一歩となります。そこでよく耳にするのが、「脆弱性診断」と「ペネトレーションテスト」。どちらも企業のセキュリティ対策として実施されるものですが、目的や検査手法など大きな違いがあります。

今回は、この2つの違いについて弊社の診断のご紹介も含めながら解説していきます。

脆弱性診断とは

「脆弱性診断」とは、あらゆる情報システムに存在するセキュリティに関する問題や、サイバー攻撃に繋がる可能性のある脆弱性を見つけることが目的です。

弊社ではその目的を達成するため、WASCやOWASPなどのガイドラインに基づいて、自動診断ツールと診断員による手動での診断手法を組み合わせて、網羅的により多くの脆弱性を見つけるための検査を実施しています。

診断実施後は、発見された脆弱性のカテゴリや深刻度を「CVSS（共通脆弱性評価システム）」に従って評価し報告します。

脆弱性診断の報告書には、脆弱性と判断した理由や検証内容、脆弱性の解説や推奨される対処方法、その脆弱性からどのような攻撃を受けるリスクがあるか等が記載されており、課題の優先順位の判断材料、次回の脆弱性診断実施時の比較資料として使用できます。

ペネトレーションテストとは

「ペネトレーションテスト」は「侵入テスト」とも呼ばれ、攻撃者としてのゴールを設定した上で、それが実際に成功するかどうかを検証することが目的です。

脆弱性診断が攻撃のきっかけやヒントとなる脆弱性をより多く見つけるための網羅的な検査を行うのに比べて、ペネトレーションテストではシステムの内部に深く侵入したり、管理者権限の奪取、クラウドサービスから重要なファイルを探し出すなど、あらゆる手法を使って検証を行います。
そのため、診断員個人のスキルに依存する面があり、診断員のスキルや熟練度によっては成果が異なることがあるため、そこがひとつのデメリットでもあります。

まとめ

「脆弱性診断」は網羅的により多くの脆弱性を探すことが目的で、攻撃をされるリスクを発見するものであり、「ペネトレーションテスト」は実際に攻撃が成功するかどうかで特定の脆弱性や問題点を発見することで攻撃を予防するものです。
サービスの特徴や重視しているポイントから、どちらが自社に必要なセキュリティ対策か選定することをおすすめします。

また、脆弱性診断には対象領域別に、Webアプリケーションを対象とした「Webアプリケーション診断」、システムを構築するサーバーやファイアウォール等のネットワーク機器に対する「プラットフォーム診断」、スマートフォンなどのモバイル端末を対象とする「ネイティブアプリ診断」、IoT機器に対する「IoTセキュリティ診断」などがあります。

昨今、サイバー攻撃の手法もより高度で複雑なものに日々変化しているため、サイトの更新や改修があった際など、定期的に適切な診断サービスを受けることで企業のブランド力を守ることにも繋がります。
自社のセキュリティ対策の第一歩として、まずは脆弱性診断を実施することを検討してみてはいかがでしょうか。

関連ブログ：
　現役セキュリティエンジニアが語るWebアプリケーション診断とは？
　現役セキュリティエンジニアが語るプラットフォーム診断とは？

関連サービス：セキュリティ脆弱性診断