脆弱性診断ツールとは、コンピューターやそれを繋ぐネットワーク、ソフトウェアやWebサービスなどをセキュリティに配慮しながら安全に使うために、考えられる「脆弱性」をあらかじめ診断できるものを指しています。この呼び方以外に、セキュリティ診断ツールとも呼ばれています。

企業においては多くの場合、様々なセキュリティ対策の一環またはその入口として脆弱性診断ツールを用いて脆弱性を診断します。つまり、脆弱性診断ツールは、診断の結果をもとにして、具体的にはどのようなセキュリティ対策が必要かを知ることができるものでもあるのです。

脆弱性それ自体は昔から存在しているものではありますが、その多くはIT技術が発展し社会が変化するにしたがって変わるものです。ですから、脆弱性診断ツールを選ぶためには「今、どんな脆弱性に気を付けるべきか？」「今気を付けるべき脆弱性を、適切に検知してくれるツールはどれか？」を正確に知ることがとても重要なのです。

まずは「今、どんな脆弱性に気を付けるべきか？」について詳しく確認しましょう。急速に進むテレワークの普及などに伴って、これまでは配慮されることのなかった脆弱性にも目を向ける必要が出てきています。総務省によるテレワークセキュリティガイドライン（第5版/2021年5月31日公表）(※1) では、テレワークにおいては「ルール」「人」「技術」のバランスのとれた対策を行う必要性が強調されており、このことは今後考えるべき脆弱性についても当てはまります。

※1 総務省 「テレワークセキュリティガイドライン（第5版/2021年5月31日公表）」
https://www.soumu.go.jp/main_content/000752925.pdf

ここでは、脆弱性を「技術的な脆弱性」と「人・ルールの脆弱性」とに分けて整理します。

技術的な脆弱性

技術的な脆弱性については、IPAによる項目選定が役立つでしょう。Webサイトが持つとされる代表的な10の脆弱性は次の通りです。(※2)

• SQLインジェクション
• クロスサイト・スクリプティング
• CSRF (クロスサイト・リクエスト・フォージェリ)
• パス名パラメータの未チェック／ディレクトリ・トラバーサル
• OS コマンド・インジェクション
• セッション管理の不備
• HTTPヘッダ・インジェクション
• HTTPSの不適切な利用
• サービス運用妨害 (DoS)
• メール不正中継
• 従業員の評価基準の不明瞭さ

※2 IPA 独立行政法人 情報処理推進機構 「知っていますか？脆弱性 （ぜいじゃくせい）」
https://www.ipa.go.jp/security/vuln/vuln_contents/index.html

上記以外にもクロス・サイト・トレーシング、コンテンツ詐称、cookie の使用による安全性の欠如、hiddenフィールドの不正操作、SSI・メールヘッダ・XML・LDAPインジェクション、バッファ・オーバフロー、ディクショナリアタック、スクリプト実行、情報漏えい、可読可能なコメントへの不適切な記載、パスフレーズジャック、バックドア、デバッグオプション、マルウェアなど様々なものがWebの脆弱性として挙げられており、これをベースにネットワークやアプリケーション、サーバー等の脆弱性が発生します。
現代では業務でスマートフォンを取り扱う場合も多く、アプリに特有なアップデート頻度の高さ、クラウド特有のデータ管理に潜む脆弱性なども考慮が必要です。

人・ルールの脆弱性

Webサイトやコンピューター、ネットワーク、ソフトウェアなどを使うのが「人」である以上、人や人の作るルールの脆弱性にも配慮する必要があります。これまでは企業で統括できていた業務環境も、その管理がそれぞれの裁量にゆだねられることになり、一人一人の脆弱性（ITリテラシーの低さなど）が企業の脆弱性に直結し、大きな影響を与える時代となったことは間違いありません。人・ルールの脆弱性についてはセキュリティインシデントの記事でも詳しく説明していますので、確認してみてください。

セキュリティインシデントとは？　基本から最新動向・原因・実例を解説
https://www.nttcom.co.jp/dscb/column/detail110/

ここでは、先に挙げたような脆弱性を踏まえて「今気を付けるべき脆弱性を、適切に検知してくれるツールはどれか？」、つまり、自社のセキュリティ対策の指針となるような脆弱性診断ツールを選ぶためのポイントや注意点をまとめます。

診断の精度が高く、実績が豊富であること

脆弱性診断ツールを選ぶときに考慮したいのが、診断の精度。当たり前のようですが、どの脆弱性診断ツールを採用するかによって診断の内容はかなりばらつきがあるため、自社に見合ったものを選ぶ必要があります。また、導入実績の多い脆弱性診断ツールを選ぶことで、それが信頼性の指標になるでしょう。

コスト・利用料金のバランスがとれていること

脆弱性診断ツールには、無料で個人利用レベルから有料で企業の総合的な脆弱性診断を行ってくれるレベルまで様々なものがあります。企業での利用ならば、無料の脆弱性診断ツールではなく、有料でサポートやサービス内容が充実している脆弱性診断ツールを選ぶべきなのは言うまでもありません。有料の脆弱性診断サービスの中から、コスト・利用料金と先述の診断の精度や実績とのバランスとを考慮し、なるべくコストパフォーマンスの高いものを選ぶと良いでしょう。

レポートの品質が高いこと

脆弱性診断ツールを用いて診断された結果を知ることができる「レポート」。この品質も選択基準になりえます。まず、診断項目が必要十分に表記されており、その結果が数値を以て示されていること。診断の精度は、主にこのレポートによって知ることができます。ですから、しっかりとレポートのサンプルを確認してから脆弱性診断ツールを決めると良いでしょう。加えてレポート内で、診断後の指針を決めるための具体的な提案が示されているとベターです。

テレワークの脆弱性を考慮していること

脆弱性についての説明でもお伝えしましたが、脆弱性診断ツール選びにおいても今後ぜひ考慮したいのが「テレワーク」の観点です。テレワークではこれまであまり考慮されてこなかったネットワークやクラウドのセキュリティリスク、社内コミュニケーションの円滑さと脆弱性のバランスなど、対応すべきことが増えています。たんに堅牢な（脆弱性に問題がない）構造を選べばよいというものでもなく、一人一人の働きやすさや業務効率も重要であるため、これまでの脆弱性診断ツールではカバーできない基準があるのです。

代表的なものとして、NTTコムウェアの脆弱性診断ツールであるSTC診断では、STC（S:セキュリティ/T:テレワーク/C:コミュニケーション）軸というテレワークの働き方に見合った基準を新たに設けており、わずか30の問診で情報システムの脆弱性を即時診断することができます。このようなすぐに結果の出る脆弱性診断ツールを、本格的な脆弱性診断ツールの前段階として使用するのも賢い手と言えるでしょう。

NTTコムウェア 「NTTコムウェアのテレワーク診断 STC診断」
https://www.nttcom.co.jp/dscb/stc/index.html

使い勝手が自社の状況に見合っていること（ソフトウェア、クラウド、サービス等）

脆弱性診断ツールの種類や使い方についても、自社の状況次第で使いやすいものを考慮する必要があります。
まずソフトウェアタイプの脆弱性診断ツールの場合、パッケージ化されており様々な環境への汎用性が高いものが多いというメリットがありますが、最新のセキュリティホールの感知をどのように行うかについては確認が必要です。クラウドタイプの脆弱性診断ツールの場合、アップデート等最新のセキュリティホール対策面で強みがありますが、一方クラウド自体、脆弱性診断ツール自体の脆弱性が問題になる場合もあり、導入実績豊富で信頼性の高い脆弱性診断ツールを吟味する必要があります。また、専門家を用いてヒアリングを行うなど複数工程を組み合わせて脆弱性を診断しながら今後の対策を練るような、総合的な脆弱性診断ツールもあります。どこまでをカバーしたいのかなど、求めるレベルに応じて見極めましょう。

脆弱性診断ツールは、もちろん選ぶまでの経緯や流れは重要ですが、実際にツールとして使用してからが本番。ここでは、脆弱性診断ツールの実際の使い方を「セルフカウンセリング型」「自動診断のみのソフトウェア・クラウド型」「手動＋自動診断を組み合わせたサービス提供型」に分けて説明します。

セルフカウンセリング型の脆弱性診断ツール

まずは、チェックリストを用いた「セルフカウンセリング型の脆弱性診断ツール」の使い方です。このような脆弱性診断ツールは、すでにある基準が明確で、それに自社の環境がどこまで到達しているかを知るために有意義です。具体的には、IPAが公式で提出している「5分でできる！情報セキュリティ自社診断」(※3) や、先に紹介した「STC診断」(※4) などがこれに当たります。

セルフカウンセリング型の脆弱性診断ツールの利点は、何よりもシンプルさにあります。カウンセリングの項目を一つ一つ照らし合わせ、自社の状況に合うものを選択・回答して結果を得ることができます。結果次第では、以下に示す2パターンよりも詳細な脆弱性診断ツールを用いる方針につなげることも可能であり、始めるハードルも低いので、最初の取っ掛かりとして用いる場合に適しています。

※3 IPA 独立行政法人 情報処理推進機構 「5分でできる！情報セキュリティ自社診断」
https://www.ipa.go.jp/security/keihatsu/sme/guideline/5minutes.html#5min-shindan

※4 NTTコムウェア 「NTTコムウェアのテレワーク診断 STC診断」
https://www.nttcom.co.jp/dscb/stc/index.html

自動診断のみのソフトウェア・クラウド型脆弱性診断ツール

次に、最も一般的な「自動診断のみのソフトウェア・クラウド型脆弱性診断ツール」の使い方についても確認しましょう。
パッケージ化されたソフトウェアやクラウドとしての脆弱性診断ツールは、インストールするだけ、サインアップするだけで診断できてしまうのが魅力です。ただ、このタイプの場合、事前に診断のための環境確認・整備をぬかりなく行っておく必要があります。診断する対象のOS、ネットワーク、ソフトウェアのバージョン等を診断に適した状態に整えておきましょう。環境が適応外となっては診断自体できなくなるので、この点は注意が必要です。環境確認・整備を終えたあとはソフトウェア・クラウドの性質に応じて脆弱性診断ツールを用いて診断を行い、返却されたレポートをもとに、次の指針を決めます。

手動＋自動診断を組み合わせたサービス提供型の脆弱性診断ツール

最後に、近年徐々に増えつつある「手動＋自動診断を組み合わせたサービス提供型の脆弱性診断ツール」について使い方を説明します。
この脆弱性診断ツールでは、事前に脆弱性診断ツールの管理サイドから担当者がカウンセリングを行い、まず診断に適した環境があるかどうかを確認してくれます。それに応じて自社の環境を整えた後、脆弱性診断を行い、レポートをもとに今後のセキュリティ対策方針を管理サイドと自社双方で吟味して決めていきます。

このタイプの脆弱性診断ツールの魅力は、総合的でかゆいところに手が届くという点です。セルフカウンセリング型の脆弱性診断ツールの診断範囲をカバーしながら精密さでも優れており、更に今後の対策に繋がる方針も共に吟味してもらえることで、自社における人的リソースの持ち出しを最小限に抑えることができます。例えばNTTコムウェアの脆弱性診断ツールである「脆弱性診断サービス」は、ここに挙げたような利点をカバーしながら、600社以上の導入実績もあり信頼性も高いので、自社企業の脆弱性診断を一括で任せておきたい場合でもおすすめです。

NTTコムウェア 「脆弱性診断サービス」
https://www.nttcom.co.jp/dscb/diagnosis/index.html

脆弱性診断ツールは、日々業務で使うコンピューターやそれを繋ぐネットワーク、ソフトウェアやWebサービスなどの脆弱性を洗い出し、カバーする機会を与えてくれるものです。その前提として、使う側は常に最新の脆弱性そのものや脅威について知っておく必要があり、もとより自社のITリテラシーを高めていくことは企業において長期的に必須の課題と言えるでしょう。テレワークが一層普及していくことが考えられる今後、社会動向にも適応した脆弱性診断ツールを正しく選ぶことが、自社の脆弱性対策への第一歩となります。各々のツールのメリットやデメリットをじっくり考慮しながら、最適な脆弱性診断ツールを選んでください。

なお、NTTコムウェアでは自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。