セキュリティ診断(脆弱性診断)とは、組織内で利用されているソフトウェア、OS、ネットワーク環境などに対して、セキュリティ上の脆弱性がないか診断することです。
セキュリティ診断を行うことにより、システム上の欠陥やセキュリティ対策の不足箇所を洗い出すことができます。対策方法について事前に検討することができるため、情報漏えいやサーバー攻撃などのリスクなどを未然に防ぐことが可能になります。
なぜセキュリティ診断が必要なのか
セキュリティ脅威の現状
個人に対するセキュリティ脅威は、認証情報やクレジットカード情報を狙うフィッシング詐欺(人間の心理的な弱点を悪用して騙す詐欺)が最も多く報告されていますが、同様に組織に対してもフィッシング詐欺を利用したシステム内部へのアクセス情報の漏えいが発生しています。現状としてはセキュリティ攻撃はまだ「標準型攻撃」(特定の組織を狙って、機密情報や知的財産、アカウント情報〈ID、パスワード〉などを窃取しようとする攻撃)が最も多く、ここ数年間では主流となっています。(※1)
しかしながら、昨今のテレワーク普及に伴い、セキュリティ強度の弱い家庭内ネットワークを経由した企業への攻撃なども発生すると考えられています。
今後はAIによるセキュリティ対策を回避する攻撃などが登場することが予想され、セキュリティ対策も強化する必要があると見込まれています。急速なコンピュータテクノロジーの進展に伴い、常に最新のセキュリティ対策を意識する必要があります。
※1 総務省「令和元年版情報通信白書」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/pdf/n5500000.pdf
外部脅威と内部脅威
外部脅威とは、外部からのサイバー攻撃にさらされるセキュリティ脅威を指します。攻撃の目的は主に、情報の不正入手、サービスの停止、データ破壊や改ざん、愉快犯(いたずら)などの他に、国家や組織などのイメージダウンや株価の不正操作など組織的な犯罪行為があります。
このようにサイバー攻撃の目的は非常に多種多様です。しかしながら、攻撃の手段としては上記で述べた標準型攻撃が主流であり、これらを意識したセキュリティ対策をする必要があります。
内部脅威とは組織内の人間が意図的、もしくは偶発的に引き起こすセキュリティ脅威を指します。内部脅威には、外部脅威よりも危険なケースが多々あります。なぜなら、企業では内部の人間に対しては信頼が前提にあるため、セキュリティ意識が希薄になりがちだからです。おおむね手の届く範囲に機密データが存在することも危険度を高める要因です。
もし従業員に悪質な内部攻撃者がいた場合、簡単に機密データを取得できる上、作業ログなども比較的簡単に消すことができるため、犯人の特定が難しくなります。
個人のセキュリティ意識の低さ
内部脅威の一つといえますが、そもそも組織内の従業員のセキュリティ意識が低いという問題も改めて考える必要があります。日本人はインターネットの利用率は他国より高い傾向にありますが、セキュリティに対する意識が弱いといわれています。
例えば、スマートフォンにセキュリティ対策を実施している人はおよそ30%、パソコンでも50%に留まります。(※2)
組織内の機密情報について理解していない従業員が多い場合、それだけ情報漏えいのリスクが高まります。そもそも機密情報とは何か、どんな対策をするかについて組織内で取り組む必要があります。
※2 独立行政法人「情報処理推進機構」2020年度情報セキュリティの倫理に対する意識調査」-【脅威編】-報告書-
https://www.ipa.go.jp/files/000088916.pdf
脆弱性を放置した場合の危険性
ソフトウェアの脆弱性はそもそも設計上の欠陥や開発者のミスなどにより発生します。ソフトウェアはあくまで人間が手掛けるものなので、常に完璧なものは作れないと考えるべきでしょう。
開発元は脆弱性が発見されると、修正プログラムなどを用意して、導入企業にシステム・アップデートを促します。一方で、脆弱性が公開されると、もちろん攻撃する側にも情報が渡ります。攻撃側からすれば、対策をしていない企業や組織へ攻撃をしかけるチャンスとなります。
また、ネットワークの脆弱性も同じく人間が構築したものの産物ですので、組織外から簡単にアクセスできる抜け道が存在する可能性が十分あります。これに気づかないまま放置すれば、いつか攻撃者に見つかり大きなダメージとなるリスクとなります。
ここで怖いのは内部の人間がこの抜け道を把握していないということです。気づかないうちに長期間、攻撃され続ける可能性があります。
このようなリスクを放置しないように、脆弱性を診断することで事前に欠陥や抜け道を把握する必要があるわけです。
セキュリティ診断のコスト
セキュリティ対策において最善の方法は、組織内にセキュリティ専門の部署を用意して脅威に備える体制を整えることです。
しかし、セキュリティ診断は専門性が高く、要員を確保するために時間やコストが非常にかかります。
そのため多くの企業ではセキュリティ診断サービスを利用することでコストを下げつつ、セキュリティ対策を施すことが一般的です。
ツールによる診断
セキュリティ診断プログラムを用いて、脆弱性を診断するツールを利用することができます。
診断結果はすぐに出ますが、完全に脆弱性を検知できるわけではありません。診断内容にもよりますが数万円?数十万円でセキュリティ診断を受けることができます。
専門家による診断
こちらはセキュリティ専門のエンジニアが組織のセキュリティの診断を行います。
すべての脆弱性の検知には時間がかかりますが、ツールでは診断できないような複雑な欠陥も検知することができます。コストは百万円を超えるケースが多いですが、扱っている情報の機密性によっては専門家による診断を受けたほうがよりよいでしょう。
セキュリティ診断サービスを選ぶポイント
診断項目
セキュリティ診断サービスがカバーする内容は、サービスによって大きく異なりますので、組織内であらかじめどんな問題に対処する必要があるのか、洗い出す必要があります。内部にエンジニアがいない場合は、診断が必要になりそうな箇所はどこなのかを検討する部分だけ外部に委託することなども一つのアイディアでしょう。主な診断項目は以下のような内容になります。
- 機密情報の漏えいの可能性
- WEBサイトや外部に公開している情報の改ざんの可能性
- マルウェアやバックドアの検知
- ネットワークの脆弱性の有無
- システムの承認や認証プロセスの脆弱性
など。
費用対効果
セキュリティ診断のサービス費用は数十万円?数百万円と大きく開きがあります。
これは診断項目数や診断を行うのがツールなのか専門家か否かで変動します。
診断が必要だと思われる項目の中から、組織で取り扱っている情報の機密性に応じて、どのサービスを利用するかを検討しましょう。
サポートの有無
セキュリティ診断の結果、問題箇所の把握ができたとしてもそれをどのように改善するのかが判断できなければ、全く意味がありません。そのため、セキュリティ診断後のサポートやコンサルティングなどを行ってくれるサービスがあれば安心でしょう。
もちろん、サポートの有無で価格も変動するので、組織内で対応できるかどうかを判断することも大事です。
まとめ
診断項目
組織で取り扱っている情報(事業内容)や、専門家の有無、内部のエンジニアスキルなどによって選択するべきサービスも異なります。サービスを選ぶポイントに沿って組織に見合ったサービスを選択する必要があります。
もし、セキュリティ事故が発生すると、組織への信用が失われるだけでなく、被害額も莫大なものになります。(国内法人でセキュリティ・インシデント発生率は約80%、年間平均被害額は約1億4800万円 (※3))
近年、テレワーク需要が増大していますが、サイバー攻撃者は世間の流行に乗じて攻撃を仕掛けることが多く、実際にテレワーク環境の脆弱性を悪用した攻撃の被害も多発しています。組織はIT環境を新たに導入する際、強いセキュリティ意識を持つことが重要です。
※3 トレンドマイクロ株式会社「法人組織のセキュリティ動向調査 2020年版」
https://www.trendmicro.com/ja_jp/about/press-release/2020/pr-20201002-01.html