危険なシステムに潜む「4つの特徴」
脆弱性診断から見るセキュリティ対策の死角

サイバー攻撃が激化するなか、セキュリティ対策への関心がますます高まっています。企業はシステムに潜在している弱点を未然に特定して、影響を正しく評価して、リスクに応じた対処を行っていく必要があります。ペネトレーションテストや脆弱性診断業務を行ってきた経験をもとにポイントを紹介します。

システムの弱点を特定するには「脆弱性診断」を行います。脆弱性診断は想定する攻撃者の視点や環境に合わせて実施し、不正侵入や情報漏えい、システム停止などの弱点を探します。システムが想定通りに動くかを確認することはシステムテストと呼ばれます。一方、脆弱性診断は設計していない操作や入力など、想定しない動作を確認するものです。脆弱性を探し出すアプローチには、ツールによるスキャン、手動での解析があり、それぞれのメリットやデメリットを考えて、組み合わせて用います。

脆弱性診断から見て危険なシステムにはいくつかの特徴があります。CTCは10年以上にわたって、中央省庁、金融業、製造業、サービス業をはじめとした、さまざまな業種・業態における3000以上のシステムで脆弱性診断を実施してきました。その実績から見えてきたのは4つの特徴です。

第1は甘い心構え。ソフトウェアのサポートが終了したまま放置していたり、専門家でなくてもGoogle検索で簡単に脆弱性を見つけてしまったりするケースです。第2は管理の不行き届き。どんなソフトウェアがあるかを把握していなかったり、管理対象から漏れていたりするケースです。第3は役割分担の落とし穴。管理責任が曖昧で、誰が管理するかが決まっていないケースです。最後は機器至上主義。WAFやIPSを導入しているから大丈夫と安心してしまい、適切な設計や実装をしていないケースです。こうした特徴に自社が合致するかどうかを確認し、セキュリティ対策に役立ててください。