このページはJavaScriptを使用しています。JavaScriptを有効にして、対応ブラウザでご覧下さい。

脆弱性スキャンとは? ペネトレーションテストとの違いやツールの選び方を解説

脆弱性スキャンとは? ペネトレーションテストとの違いやツールの選び方を解説

脆弱性スキャンとは、ネットワーク機器などが不正な攻撃を受ける恐れがあるか検査するソフトウェアです。企業のほとんどがWebサイトの運営やネットワーク上のシステムを使用している今、脆弱性への対処の重要性は増しています。

今回は、脆弱性スキャンとペネトレーションテストとの違いや、脆弱性スキャンを行う製品やツールの選び方を解説します。自社の脆弱性に不安のある方は、ぜひ参考にしてください。

この記事の監修者
小田 悟史
情報処理サービス企業社内システム管理、ITインフラ管理運用担当   

【関連記事はこちら】

脆弱性スキャンとは

脆弱性スキャンとは、ハードウェアやネットワーク機器、ソフトウェアに存在している既知の不具合や不適切な設定を検出することで、不正な攻撃を受ける状態にあるかどうかを検査するソフトウェアです。たとえば、ファームウェアやソフトウェアのバージョンが最新版ではない、デフォルト設定を維持している、公表されている攻撃手法への対策が未対応・不完全であるといったことを検出します。

多くの場合、脆弱性スキャンは自動化ツールによって行われるため、適切な検査範囲を指定すれば、確認したい脆弱性はほぼ確実に抽出できます。標準的なWeb脆弱性やネットワーク脆弱性の検査であれば、パッケージ化されていることも多く、比較的安価に短期間で実施することが可能です。

脆弱性スキャンとペネトレーションテストの違い

ここからは、脆弱性スキャンと混同されがちなペネトレーションテストの違いについて、解説します。

対象範囲

脆弱性スキャンは対象範囲が比較的広域、あるいは組織全体の安全性の点検です。それに対してペネトレーションテストは、対象となるターゲットを絞って侵入シナリオを想定したうえで行われます。

目的

脆弱性スキャンは、脅威の可能性を発見するだけに留まり、その脅威を実際に実行するわけではありません。

一方のペネトレーションテストでは、脆弱性スキャンで検出される脅威、もしくは脆弱性スキャンだけでカバーできないオペレーション上の脆弱性(スパムメールの開封によって展開されるマルウェアなど)を踏まえて、実際に疑似的な攻撃や侵入を行うことで検証することが目的です。

さらに侵入や攻撃を行うことで、具体的にどこまで被害や影響が出るかまで可視化することができます。たとえば「侵入することができる」という脆弱性に対し、万が一その侵入が行われた場合にどこまで侵入や破壊を許してしまうのかや、そのリスクへの対策がどこまで必要であるかといった、より具体的なリスク対策や方針を明確にするための方法がペネトレーションテストです。

脆弱性スキャン製品やツールを選ぶ際のポイント

脆弱性スキャンの製品やツールは、検査する目的や対象範囲によって選ぶ必要があります。ここからは、最適な製品やツールを選ぶ際の3つのポイントについて解説します。

1.セキュリティ診断サービスで確認できる診断項目は豊富か

診断項目の豊富さは、脆弱性スキャンを選ぶうえで一つの基準となります。ただし、やみくもに多くても単純なコストだけではなく、実施したうえでのレポートを解析・判断する負担が高くなってしまいます、

「確認したいこと」が適切に検査できるパッケージとなっているかが重要です。コストやターゲットを絞りすぎても抽出すべき脆弱性の見落としが出るリスクがあるので、適切なバランスをとる必要があります。

2.手動診断か自動診断か

脆弱性診断はある程度定型的な調査のため、自動診断によって短納期・低コストで実施が可能です。複雑な要件やカスタマイズがなく、標準的な構築を行っているシステムやサービスであれば、自動診断であってもかなり精度の高い脆弱性チェックができます。

複雑なカスタマイズを行っている、あるいは範囲が広い場合は、自動診断では脆弱性が見落とされる可能性があるため、手動診断が推奨されます。また、ある程度セキュリティに精通しており、脆弱性診断自体をよりカスタマイズしたい場合も手動診断が選択肢に入るでしょう。

3.コンサルティングサービスが充実しているか

脆弱性診断はあくまで現時点の状況をリストアップするだけであり、その脆弱性をどのように対処するかを判断し、対応するまでが本来の目的です。この判断には経営判断以外にも、技術的な判断が必要となり、高度な専門性を必要とします。

全社を対象とした広い範囲を扱う場合や重要性の高いシステムに対しては、脆弱性に対するアクションまで提案するコンサルティングサービスを併用することがお勧めです。コンサルティングはコストや目的に応じて、提案までか、改善したかどうかの再診断までを行うか、といった選択肢があります。

自社のセキュリティ対策をチェックする際には、テンプレートが便利です。ビズオーシャンでは、ダウンロードできるテンプレートをご用意しております。無料でセキュリティ対策チェックを行いたい方は、ぜひご活用ください。

脆弱性スキャンのまとめ

脆弱性スキャンとは、ハードウェアやネットワーク機器、ソフトウェアに存在している既知の不具合や不適切な設定を検出し、不正な攻撃を受ける恐れがあるか検査するソフトウェアです。ペネトレーションテストに比べて広い範囲が対象ですが、脆弱性を確認するのみで擬似的な侵入や攻撃は行いません。

脆弱性スキャン製品やツールは目的や対象範囲に合わせて選ぶことが大切です。自社のセキュリティ対策のために、脆弱性スキャンを定期的に実施するようにしてください。

【書式のテンプレートをお探しなら】

この記事に関連する最新記事

おすすめ書式テンプレート

書式テンプレートをもっと見る

監修者プロフィール

author_item{name}

小田 悟史

情報処理サービス企業社内システム管理、ITインフラ管理運用担当

1983年、北海道札幌市出身。大手システムベンダーでソフトウェア開発、サーバ構築やネットワーク設計などのインフラ関連に従事。現在は北海道札幌市の情報サービス業にて社内システムの管理・運用・構築に従事。Pマーク(JISQ15001)やISMS(ISO27001)に準じた社内のセキュリティ推進や研修の策定・実施にも携わる。

個人活動として、ITセキュリティに関するWeb記事の執筆、Eラーニングの企画や講師の実績もあり。

この監修者の他の記事(全て見る

テーマ/キーワードから記事を探す

カテゴリ別テーマ一覧へ

フリーワードで探す

bizoceanジャーナルトップページ