脆弱性評価とは？ その仕組みは？

様々な脆弱性評価の種類 

1. ホスト評価 

これは、適切な検査や確立されたパターンがなされない場合に悪用される可能性のある重要なサーバの評価を指します。ネットワークおよび無線評価とは、プライベートやパブリックネットワークへの不正アクセスを防ぐための手法やプロセスの評価を意味します。 

2. データベース評価 

大量のデータやデータセットを対象に、脆弱性や設定ミスを検出し、異常なデータセットや不明瞭な開発／テスト環境を識別、さらに企業全体の機密データの整理を行います。 

3. アプリ評価 

これは、ウェブアプリのソースコードにおけるセキュリティ上の欠陥を、自動出力やソースコードの静的／動的評価を通じて特定することを指します。 

脆弱性の悪用を防ぐいくつかの方法 – ガイド 

• 脆弱性評価は定期的に実施し、結果を作業ログに記録すること 
  

もし脆弱性が発見された場合、悪用を防ぐために次のような対策が考えられます： 

1. 補完管理策を使用する 

補完管理策とは、システムを攻撃から守るために実施するツールや手法を指します。これにより全体のセキュリティが強化されますが、システムの危険を完全に排除するわけではありません。 

例えば、ファイアウォールに脆弱性が見つかった場合、ファイアウォールの前にIDSを導入して攻撃を監視することができます。 

2. パッチ管理プログラムを作成する 

システムを安全に保つ別の方法として、パッチ管理プログラムを策定し実施することが挙げられます。前述のとおり、ソフトウェアの脆弱性は常に発生します。 

ベンダーは脆弱性に対処するために迅速にパッチを提供しますが、多くの場合、ユーザーはシステムの脆弱性に気づかず、パッチの適用方法も把握していません。これを解決するために、パッチ管理プログラムを策定・実行する必要があります。 

パッチ管理は、脆弱性を発見・認識するプロセスと、パッチを適用する仕組みの二部構成です。 

• 脆弱性管理プログラムを導入し、修正すべき脆弱性を特定する 
  

ネットワークやシステムは定期的に評価し、その結果は作業ログに記録することが重要です。 

評価結果は、上級スタッフによって分析され、どの脆弱性に即時対応が必要か、または後日対応可能かが判断されます。脆弱性が見つかった際は、そのリスクの程度に応じた対策を講じるべきです。 

リスク評価は、脆弱性がもたらす影響を明らかにします。可能な場合には脅威も特定し、どの程度攻撃されるかの可能性を判断します。 

• ホストとネットワークの強化を行う

ホストとネットワークの強化は、システムのセキュリティ設定を変更することで安全性を高める手法です。これらの設定は、アプリやOSの調整、もしくはファイアウォールや侵入検知システム（IDS）などのセキュリティツールによって変更できます。 

システム対策として、不要なサービスを無効化することは、攻撃対象を直接的に減少させる効果的な方法です。 

また、不要なポートを閉じることも有効です。これはルーター、ワークステーション、サーバすべてに適用されるべきです。 

例えば、システム上でFTPが不要であれば無効化し、SNMPも使用しない場合は同様に無効化します。さらに、特定のポートへのアクセスを制限するためにファイアウォールの設定も検討されます。 

• 定期的に脆弱性評価を実施し、新たな脆弱性を把握する 

これらの評価により、未知の攻撃経路が明らかになり、対策を講じるための新たな手段が見えてきます。 

既存の脆弱性がネットワーク上に存在しないか確認し、評価で発見された場合は直ちに対処してください。 

最小特権の原則を適用し、業務に必要な者だけにリソースへのアクセスを限定してください。従業員には業務データを守る重要性を啓蒙することも大切です。 

先進的な攻撃から組織を守る方法について詳しく知りたい方は、National Cybersecurity and Communications Integration Center (NCCIC) のサイトを参照してください。 

• セキュリティ意識向上プログラムを実施する 

従業員に対し、セキュリティ上の脅威や脆弱性について教育してください。セキュリティ意識向上プログラムは、直面するリスクと自身を守るための対策を学ぶ機会を提供し、効果的なコミュニケーション戦略や意識向上の技術を取り入れるものです。

脆弱性評価ツール 

1. ‍Nikto2 

これは、ウェブアプリのセキュリティを前提としたオープンソースの脆弱性検査ツールです。Nikto2 は約6700件の、ウェブサーバに影響を及ぼす危険な項目を検出し、旧式のサーババージョンを報告します。さらに、サーバ設定の問題に警告を発し、短時間でウェブサーバのスキャンを実施します。 

Nikto2 は検出された脆弱性に対する対策やリスク評価機能を提供しませんが、頻繁に更新されるため、幅広い脆弱性の把握に役立ちます。 

2. ‍Netsparker 

Netsparker は、ウェブアプリの脆弱性を自動検出する別のツールです。このツールは、数時間で複数のウェブアプリの脆弱性を発見できるよう設計されています。 

有料の事業向けツールではありますが、多くの高機能を備え、アプリをクロールして脆弱性を検出する機能や、検出結果に基づいた対策方法の提案が可能です。また、先進的な脆弱性評価に対応するセキュリティ対策も公開されています。 

3. ‍OpenVAS 

OpenVAS は、企業向けの包括的な脆弱性評価ツールで、ウェブアプリやウェブサーバだけでなく、OS、データベース、ネットワーク機器、仮想マシンの脆弱性検出にも利用できます。 

日々更新されることで、検出可能な脆弱性の範囲が拡大し、リスク評価や対策の提案にも役立ちます。 

4. ‍W3AF 

W3AF は、Web Application Attack and Framework の略で、無料かつオープンソースのウェブアプリ脆弱性評価ツールです。脆弱性を検出・悪用する仕組みによりアプリを評価し、その使いやすさが評価されています。さらに、侵入テスト用の機能も備えています。 

また、幅広い脆弱性に対応しており、特に最新の脆弱性が狙われやすい組織に適しています。 

5. ‍Arachni 

Arachni は、ウェブアプリ専用の脆弱性評価ツールで、様々な脆弱性に対応し定期的に更新されています。 

また、Linux、Windows、macOS に対応した無料かつオープンソースのツールであり、最新の脆弱性に合わせた侵入テスト機能も備えています。 

まとめ

セキュリティ上の脅威は常に進化しています。セキュリティ専門家として、新たなリスクを識別する能力が求められます。その一環として、定期的な脆弱性評価が有効です。脆弱性評価とは、システム内の新たな弱点を発見する手段です。 

新たな脆弱性が見つかると、しばしばゼロデイ攻撃と呼ばれます。これは、脆弱性発見直後に行われる攻撃の一種です。