WebサイトやWebサービスの導入にあたり、脆弱性診断の有無が項目に含まれたセキュリティチェックシートの提出を求めるお客様が増えています。脆弱性診断とは、システムやネットワークなどにセキュリティ上の問題点がないか検知し見える化するサービスです。
サイバー攻撃を受けるリスクが高まっている昨今、脆弱性診断のニーズも増しています。そこで今回は、ITセキュリティのプロフェッショナル集団である株式会社アイロバ様に脆弱性診断の必要性や選び方を解説いただきました。
目次
セキュリティの専門家に聞く
カゴヤ・ジャパン株式会社 相原:
「まずはアイロバ様の事業内容についてお聞かせいただけますでしょうか?」
株式会社アイロバ 小林様:
「弊社はITインフラ事業とサイバーセキュリティ事業を営む企業です。ITインフラ事業ではクラウドやデータセンターを活用し、お客様ニーズを加味した設計・構築を行い運用・保守まで承っています。
一方、サイバーセキュリティ事業で扱っているのが、本日紹介する『脆弱性診断サービス』とクラウド型WAFサービス『BLUE Sphere』です。弊社では、サイバーセキュリティという軸の中で、コンサルティングからこれらサービスの提供まで行っています。」
―ありがとうございます。それでは次に、本日お話いただく小林様と赤羽根様、それぞれのポジションや業務内容を伺えますでしょうか。
小林様:
「私は代表取締役を務めております。代表なので経営に関わること全般を行っていますが、営業に近い業務にも従事している状況です。具体的には、営業企画やコンサルティングを中心に対応しています。」
株式会社アイロバ 赤羽根様:
「私はサイバーセキュリティ事業部に所属し、情報セキュリティ統括エンジニアとして脆弱性診断サービスやBLUE Sphereの製品開発を担当しています。」
―赤羽根様は、アメリカのEC-Council社が運営する認定資格『CEH(認定ホワイトハッカー)』を取得されていますね。本日はホワイトハッカーとしての知見もふまえ、脆弱性診断サービスについて伺えると幸いです。
赤羽根様:
「よろしくお願いします。」
脆弱性診断の必要性
―脆弱性診断サービスをこれまで使ったことがない、という企業様は少なくありません。そこで脆弱性診断サービスとはどんなものかを、簡単に紹介いただけますでしょうか。
小林様:
「脆弱性診断とは、システムやネットワークに潜む脆弱性や、サイバー攻撃の対策を行う上での問題点を洗い出すサービスです。システム・ネットワーク用の人間ドックや健康診断のようなものですね。
システムやネットワークは人間が作っているので欠陥があるものです。また採用するOS・ミドルウェア等も時間が経過すれば、欠陥・脆弱性がどんどん発見されます。それらを検知し、対策するために見える化するのが脆弱性診断サービスです。」
―実際に企業様が脆弱性診断を受けると、担当者の方が驚くような深刻な脆弱性はたくさん発見されるものでしょうか?
赤羽根様:
「そうですね、企業様の規模にもよりますが、たくさん見つかることが多いですね。」
―やはり、そうなんですね。
赤羽根様:
「はい。一方で、お客様が非常に慎重で細部まで気を付けられている場合もあります。しかし1ヵ所だけケアレスミスというかセキュリティ的にがら空きだった、というケースも少なくありません。そうすると残りの全部が無意味となり、セキュリティとしては脆弱性がたくさん発見されるのと変わらなくなってしまうんですね。」
―セキュリティ対策というのは、それだけ難しいということですね。
赤羽根様:
「セキュリティ専任の方がいてセキュリティに関してだけ考え続けているという環境でない限り、全てをカバーするのは難しいと思います。」
―人間の健康診断や人間ドックも受けてみて『こんな病気があったのか』とびっくりすることはありますが、脆弱性診断も同じなんですね。現場の担当者の方も脆弱性診断後に、『こんな問題があったのか』と気づくのですね。
赤羽根様:
「おっしゃる通りです。」
―そういった意味でも、企業にとって脆弱性診断を受けるのがいかに重要かということがわかりますね。ご自分で気づいていないびっくりするようなセキュリティホールが、自社のシステムやネットワークに隠れていることが多いのですね。
赤羽根様:
「はい、それに脆弱性診断を行わないことのリスクは他にもあります。現状、セキュリティ事故が当たり前のように起きていて、ニュース等でも頻繁に取り上げられている状況です。
仮にサイバー攻撃による被害が生じ、脆弱性診断をはじめセキュリティ対策をしていなかった、ということになれば大きな問題となります。企業のイメージ失墜は免れませんし、社会的な責任を追及されることにもなるでしょう。」
―脆弱性診断は、どのようなタイミング・頻度で受けるとよいのでしょうか。
小林様:
「いろいろケースがあります。たとえばシステムを新しく作り上げ公開する直前にフル診断を受けていただくことがありますね。またシステムの改修やバージョンアップといった大きな変化があるときに、診断を受けていただくことが多いです。
また大きな企業では、年に1回必ず定期診断を受けるという事例も増えています。こういった場合は年間パックを契約いただいて、年に1回、このタイミングで診断するというのを決めている企業様が多いです。」
―なるほど、いろいろなケースがあるんですね。
小林様:
「はい、あとネガティブなケースですと、実際攻撃を受けて個人情報が流出したあとに、その対策として脆弱性診断を行います。その上で、対策をほどこした後に、『本当に大丈夫か』ということで、改めて脆弱性診断を行うということもありますね。」
―脆弱性診断が必然性の高いサービスであることは分かりました。現状、どのくらいの企業様が利用されているものでしょうか?
赤羽根様:
「上場企業様は脆弱性診断に対する意識が高く、積極的にお受けいただいている場合が多いです。一方、国内の中小企業様はあまり脆弱性診断をお受けになられていないですね。」
―そうなんですね。それで実際に受けてみたら、驚くほど脆弱性が見つかることが多いのですね。
赤羽根様:
「はい、その通りです。」
脆弱性診断実施における課題
―セキュリティ専門の担当者が常駐しているという企業は少ないです。そのため脆弱性診断を外部へ依頼する企業が多いと思いますが、お客様から脆弱性診断を相談された際、どのような課題があるのでしょうか。
赤羽根様:
「本来なら、自社にセキュリティ対策専門の担当者の方がいるのが理想的です。自社の技術者であれば、自社のインフラやシステムも把握しているので、適切なセキュリティの診断ができます。
しかしセキュリティ技術者は人材不足である上に単価が高騰しており、担当者を自社で確保するだけでも膨大なコストが必要です。そういった意味で現実の必要性とお客様が用意できる予算にギャップがある、というのがまず1つの課題ですね。
一方、無料ツールを使って安く脆弱性診断をすませたいというお客様もいらっしゃいます。しかしツールは無料でも、ツールを使って適切な診断をできる人材が限られているのです。診断できる人材を見つけようとすれば、結局、有償のサービスを使うよりコストがかかります。」
―確かに、無料の診断ツールはいくつもあります。ただセキュリティの専門家でない方だと、せっかくツールを使っても正しい診断はできないということですね。
赤羽根様:
「はい、まずこのあたりの事情を理解いただくのが課題としてはありますね。それに攻撃を受け一刻も早く診断や対策が必要な状況でも、どういう規模感でどんな診断をすればよいか判断できるお客様はほとんどいません。」
―そういったお客様の場合、脆弱性診断のメニューを適切に選ぶのも難しいと考えられます。脆弱性診断に、必ずしも多くの予算を確保できるとも限りませんから、不必要な内容を選ぶのも避けたいものです。
こういった点も、脆弱性診断サービスをお客様が使う際の課題かと思います。そこで、次に脆弱性診断サービスをお客様が選ぶ際のポイントについて教えて下さい。
脆弱性診断サービスの選定ポイント
―一口に脆弱性診断といっても、サービスの種類やメニューは少なくありません。その中から、お客様が自社にあった適切なサービスを選ぶ際のポイントについて伺っていきたいと思います。
まずは脆弱性診断を実施する目的を明確に
―脆弱性診断サービスを選ぶ際に、まずはどんな点が重要なのでしょうか。
赤羽根様:
「おっしゃるように脆弱性診断にもいろいろな種類・メニューがあるので、正しく選ぶためには、何が目的か明確にしていただくことが必要です。システムリリース前にできる限り詳しくチェックしたいとか、最低限でもよいから定期的に診断したいとか企業様によって目的は異なります。」
―確かに何を目的にするか最初に検討していただくと、サービスを選定しやすいですね。
赤羽根様:
「はい。どういうところを目的にするのか、我々のような専門家に相談いただいて、整理していただくのもよいと思います。」
「ツール診断」と「手動診断」のメリット・デメリットを把握する
―脆弱性診断には『ツール診断』と『手動診断』があります。脆弱性診断を受ける際は、どちらか選択する必要がありますが、それぞれの概要・メリット・デメリットについてお聞かせいただけますか。
小林様:
「まずツール診断は、商用ツールを使い特に危険性の高い部分を検知するメニューですね。ツール診断のメリットは、短納期かつ低コストで実施できること、都合のよいタイミングで診断しやすいことがあげられます。デメリットは細部まで診断できないことや、作り方が複雑なWebサイトはツールが対応できないことです。
次に手動診断とは、セキュリティエンジニアが重箱のすみをつつくような感じで、細部まで診断するメニューです。手動診断では専門のエンジニアが細かいところまで診断項目を設け作業を実施するので、診断のクオリティは非常に高くなります。またツール診断のように機械的でなく人間がロジックを細かくみてチェックするので、ツール診断では賄えないところもチェック可能です。その反面、デメリットとして診断結果がでるまで、長い時間と高いコストがかかることがあげられます。」
―業者によっても異なると思いますが、費用や納期はそれぞれどのくらい差がありますか?
小林様:
「そうですね。一口にツール診断といってもサービスによってクオリティは千差万別です。相場でみても数万円程度で使えるものから、数十万円かかるものまであります。」
―手動診断はいかがでしょうか。
小林様:
「こちらも一概に言えませんが、数十万円という単価ですまないことがほとんどですね。ただ、後程紹介させていただきますが、弊社にご依頼いただければ、相場よりずっと安価な料金でご利用いただけます。」
―ありがとうございます。納期についてはいかがでしょうか。
小林様:
「あくまで弊社の場合ですが、ツール診断なら1~2週間程度です。一方、手動診断はボリューム次第ではありますがレポートを出すまで、1~1.5ヵ月程度いただいています。そのあと、レポートの説明や対策に関するアドバイスをさせていただくといった流れですね。
ただ、これも後述しますが、弊社の場合は他社と比べ納期も短いです。」
【ツール診断/手動診断比較表】
| ツール診断 | 手動診断 | |
|---|---|---|
| メリット | 納期が短い 手動診断に比べコストが安い | セキュリティエンジニアが診断するため診断の品質が高い ツール診断では対応できない細部まで診断可能 |
| デメリット | 細部まで診断できない 複雑な構成のサイトには対応していない | ツール診断に比べ、納期が長くなる ツール診断に比べコストが高くなる |
検査対象を選定する
―次に脆弱性診断の検査対象について伺いたいと思います。脆弱性診断は『Webアプリケーション診断※1』『プラットフォーム診断※2』に分類され、検査対象はそれぞれ別々です。
※1 Webアプリケーション診断
※2 プラットフォーム診断
Webサイト・Webアプリケーションに対するセキュリティ診断
― OS・ミドルウェア・ネットワーク等に対するセキュリティ診断。
どちらを選ぶべきか、選定の基準についてお聞かせいただけますでしょうか。
赤羽根様:
「セキュリティを確保するためには、どちらも必要ですね。ただし現時点でどのようなセキュリティ対策ができているかによって、診断すべき規模などは変わってきます。
たとえばOSやミドルウェアなどに関しては、ファイアーウォール・IPS・IDS・WAF等である程度防御可能です。またプラットフォームは一般的に共通の基盤を使っていることが多いですが、最低限のことはきちっとやるべきといえます。
一方、WebアプリケーションやWebサイトに関しては、お客様によって特殊な設計・構築になっていることが多いです。そのため一度は手動診断で深掘りすることが推奨されます。」
―それではプラットフォーム診断なら、ツール診断でも十分なことが多いのでしょうか?
赤羽根様:
「いえ、そうとも言えません。細かいところまでチェックするにはプラットフォーム診断でも手動診断が必要です。ただ、WebアプリケーションやWebサイトの方が、お客様のオリジナリティが高くなっています。そのためお客様によっては診断すべき項目が増え、プラットフォーム診断に比べ検査費用が高くなりがちですね。」
診断項目は十分か
―診断項目の数についても、サービスによって差があるものでしょうか?
小林様:
「はい、ありますね。」
―脆弱性診断の診断項目は、統一規格や名称がないため比較するのは難しいと思うのですが、サービスを選ぶ際に気を付けるべき点はありますか?
赤羽根様:
「はい、脆弱性診断を希望する目的にもとづいて、必要な診断項目がそろっているサービスを選ぶべきですね。」
―診断項目はサービスによって数千・数万あるようです。そうした中で、お客様は必要な項目を適切に選べるものでしょうか?
小林様:
「我々の場合ですと、脆弱性診断を行うお客様の目的を伺った上で、我々から必要となる診断項目をチョイスして提案していますね。」
―膨大な診断項目の中から、お客様だけで適切に選択するのは困難でしょうから、そういったサポートの有無も重要ですね。
診断後のレポートは十分か?対策のサポートは?
―脆弱性診断を利用するにあたり、診断後のレポートやサポートも重要だと思います。このあたり、選定する際に気を付けるべき点はありますか?
小林様:
「レポートについては、手動診断でも内容の薄いものを提出する業者からしっかりした内容のものを提出する業者まであります。比較するにはサンプルを取り寄せて、チェックしていただくのがよいですね。」
―サポートはいかがでしょうか?
赤羽根様:
「サポートの有無は非常に重要ですね。脆弱性診断で最もよくあるのは、診断をして脆弱性が検知されたものの、十分なサポートがなく何も対処できないといったケースです。
せっかく高いお金をかけて脆弱性診断をしても、それでは意味がありません。たとえば弊社では、どうすればよいかという対策の部分までサポートできますし、対策方法の提案も可能です。」
―脆弱性診断を選ぶ際は、診断後のアフターケアが充実しているかもきちんとチェックすべきということですね。
おススメは抜群の費用対効果!アイロバの脆弱性診断
―ここからはアイロバ様の脆弱性診断を紹介いただきたいと思います。脆弱性診断を選定する際のポイントを伺いましたが、それをふまえ、アイロバ様のサービスはどんな特徴があるかお聞かせください。
予算に合わせた診断プラン
―脆弱性診断を使う場合、お客様にとってコストがネックになることが多いと思います。その点、御社のサービスはいかがでしょうか。
小林様:
「当社の脆弱性診断を受けていただく際は、検査対象のWebサイト・Webアプリケーションをチェックさせていただきます。その上で優先度や緊急度に基づき、高・中・低の3ランクで診断項目を分類させていただくことが可能です。たとえば予算が限られている場合、全部やらなくても最低限ここだけやっておきましょうといった提案をさせていただけます。」
―予算にあわせて検査項目を柔軟にカスタマイズできるということですね。それなら予算に不安があるお客様も、安心して相談できそうですね。
小林様:
「はい、また先ほども触れましたが、お客様によって脆弱性診断を受ける目的が異なります。そのため、お客様と一緒に脆弱性診断を受ける目的について整理させていただき、目的に適したかたちでサービスの提案が可能です。これによって目的にあわないサービスを選択し、コストを浪費してしまうこともありません。」
最短2週間のスピード診断
―お客様によっては、サイバー攻撃を受けたことが発覚し、『今月中に診断してほしい』といったようにお急ぎになっている場合もあると思います。御社の脆弱性診断では、そういったお客様の要望にも応えられるのでしょうか。
小林様:
「我々はセキュリティのプロフェッショナル集団として、セキュリティエンジニアを育成するなど体制を強化してまいりました。そういった点でも、自信をもってサービス提供させていただけるスキームがございます。診断の目的を明確化し必要な検査対象を重点的に診断することで、手動診断でもレポーティングも含め最短2週間での対応が可能です。
もちろん納期を早める場合も、必要な診断項目を列挙し見える化して、納得いただいた上で診断を行います。クオリティが落ちるわけではないのでご安心ください。」
診断項目が豊富
―御社のホームページでは、脆弱性診断の診断項目数について記載されていますね。他社が約5,000・約8,000であるところ、御社は約40,000と大きな差がありました。これだけ診断項目がそろっていれば、お客様のニーズはしっかり満たせそうですね。
小林様:
「はい。他社では、過去に問題となった脆弱性を対象にしていない場合も多いです。その点、弊社は過去にさかのぼってしっかりチェックします。また1つの診断項目が他の診断項目に関連して、クロスで見ないといけない場合も少なくありません。我々は、そういった部分も全て網羅可能です。
診断項目については、Webアプリケーション・プラットフォームそれぞれで、ここを見るというのを事前に一覧化させていただきます。それをもとに他社と比較していただくのもよいですね。」
―御社の場合、お客様の目的を伺った上で御社の方で必要と思われる診断項目をチョイスして提案されるとのことでしたね。
小林様:
「はい、そうですね。」
―膨大な診断項目の中からお客様自身で適切に選定するのは難しいかもしれません。御社のように、診断項目の選定からサポートしていただけるなら、お客様も安心ですね。
レポートやアフターケアの品質に自信がある
―今までのお話から、脆弱性診断はレポーティングの内容やサポート等のアフターケアに関する部分も重要であることが分かりました。その点、御社のサービスはいかがでしょうか?
小林様:
「おっしゃる通り脆弱性診断ではレポーティングやアフターケアの部分も重要です。まず当社のレポートは、他社と比べても内容が濃く充実していると自負しています。」
―確かに、アイロバ様のレポートを拝見すると技術者目線でまとめられており、技術者の方が対策を検討しやすい作りになっていると感じます。技術者の支持を得やすいのではないでしょうか。
小林様:
「ありがとうございます。その通りです。」
―サービスに興味をお持ちいただけた方は、レポートのサンプルを取り寄せていただくとよいですね。他社のサンプルと見比べてみると、そのクオリティをより実感いただけると思います。
小林様:
「はい。それから弊社ではただレポートをお渡しするだけでなく、対面でしっかり説明させていただく機会を設けております。その中でとるべき対策についてもレクチャーさせていただくのですが、この点は他のお客様からも評価いただいていますね。対策に適した自社・他社サービスの提案も可能です。」
―レポート提出だけで終了する脆弱性診断も多い中、そこまでアフターケアが充実しているのであれば、お客様にも満足していただけそうですね。
小林様:
「はい。あとは必要に応じてペネトレーションテストという侵入テストの対応や、再診断も実行可能です。また実際にウイルス感染して事故がすでに起きてしまっている状態で、原因究明から対策までプランニングするサービスも提供しています。あらゆる入口から対応できる、というのは弊社の強みと言えるかなと思います。」
―サービス契約時のヒアリング・コンサルティングからアフターケアまで、アイロバ様の脆弱性診断は充実しているのがわかりました。弊社としても、お客様に自信をもって提案できます。
まとめ
サイバー攻撃を受けるリスクがどのくらいあるかは、セキュリティのプロによる脆弱性診断でないと正しくチェックすることはできません。セキュリティリスクが放置された状態でサイバー攻撃を受け被害が生じれば、企業としての信用が失墜する可能性もあります。
そういった事態を避けるためにも、まずは脆弱性診断によりリスクを見える化することが必要です。なかでも株式会社アイロバの脆弱性診断であれば、診断後の対策をレクチャーいただける等、アフターケアが充実しておりおすすめできます。予算に合わせた診断項目の選定や短納期でのレポート提出も可能です。
株式会社アイロバ様の脆弱性診断に興味をお持ちの方は、是非カゴヤの法人お問い合わせ窓口までご連絡ください。本サービスの詳細について説明させていただきます。レポートサンプルの送付も可能です。
法人・企業様専用のお問い合わせ窓口です。
お見積りのご相談、各サービスのお問い合わせなどお気軽にご相談ください。
電話でのお問い合わせ
0120-446-440
【受付時間】[平日]10:00~17:00
※ 土日祝・当社指定休日を除く
フォームでのお問い合わせ
