Webセキュリティ診断のメリット・デメリットはこれだ!失敗しない診断会社の選び方
個人情報流出や情報漏えいのニュースが相次ぐ昨今。Webセキュリティ診断をやったほうがいいとは思うけれど、実際にどんなメリットがあるのか、どんな会社に依頼すればいいのか分からないといったお声もよく伺います。
この記事では、Webセキュリティ診断を行うメリット・デメリット、そして実際にWebセキュリティ診断会社を選ぶ時に失敗しないためのポイントをご紹介します。
そもそもどうしてWebセキュリティ診断が必要なの?
管理している情報の漏えいや改ざんなどの被害から守るためです!
サイバー攻撃の種類は多様化しており、攻撃を受けると情報漏えい、改ざんなどの被害が考えられます。
Webセキュリティ診断は、Webサイト/API、Webアプリで管理しているさまざまな情報やサービスそのものを攻撃者から守るために、脆弱性が潜んでいないかを診断し、適切な対策を行うために実施します。
そのためには、以下のような観点で診断することが大切です。
機密性 … 外部には見せたくない個人情報などのデータがしっかりと守られているかどうか
完全性 … 所有者以外には書き換えられたくないデータが守られているかどうか
可用性 … アクセス許可されている人がいつでもアクセスできる状態に守られているかどうか
管理している情報がなくても、サービス提供の妨害や攻撃の踏み台に悪用されてしまう恐れがあります
時折「流出して困るようなデータは保持していないから大丈夫」といったご意見を耳にしますが、だからといってセキュリティ対策をしなくてもいいということはありません。
セキュリティ対策が甘いWebサイトの脆弱性を利用して、攻撃の踏み台などに悪用される場合があります。攻撃の踏み台に悪用されると、いつの間にか攻撃の一端を担うことになってしまい、攻撃者として疑われる可能性もあり、社会的信用度を著しく損なってしまいます。
インターネット上にある以上、さまざまな攻撃を受ける可能性があると考えて、ある程度のセキュリティは担保しておく必要があります。
Webセキュリティ診断を行うメリット
1. 被害が未然に防げる
当然のことですが、これが1番の理由です。診断の結果、検出した脆弱性に対して適切な対策を行うことで被害を未然に防ぐことができます。また、検出した脆弱性の傾向をもとに、類似箇所を修正することも可能です。
2. プロの視点で開発者が気づくことができない脆弱性を検出できる
診断員はセキュリティの専門家として、開発者とは異なる視点で診断を行います。そのため、開発品質が高くても見つけられない脆弱性をWebセキュリティ診断で見つけることができます。
3. 開発者のセキュリティレベルが向上する
Webセキュリティ診断結果の報告書では、脆弱性の有無だけでなく危険度や再現方法、対策を知ることができ、開発者自身のセキュリティへの理解度・知識が深まります。
開発者自身のセキュリティレベルが向上することで、今後の設計や開発に生かすこともできます。
開発者として大事なのは、多くの場合、ユーザビリティや営利、設計書通りであることですが、Webセキュリティ診断員の視点は、「機密性」、「完全性」、「可用性」の3つの視点で診断を行います。
Webアプリケーションの仕様はあまり関係なく、ブラックボックステスト(※)で「悪用されうるか否か」の観点で診断を行い、脆弱性の有無を判定します。
サービス内容によっては診断員が行う場合、脆弱性の有無だけでなく、さらにその脆弱性を利用した攻撃が実現できるかどうかまで確認・判定します。
※ブラックボックステスト
ソフトウェアやシステムのテスト手法の一つで、テスト対象の内部構造を考慮に入れず、外部から見た機能や振る舞いが正しいかどうかだけを検証する方式
Webセキュリティ診断を行うデメリット
1. 脆弱性が検出された場合、対策のためにシステムの修正が必要
診断により脆弱性が検出されると、修正を検討する必要があります。検出した脆弱性の危険度は、多くの場合独立行政法人などで決められた基準をベースに決められています。脆弱性の修正は、危険度やWebアプリケーションの仕様、ユーザビリティが著しく損なわれることがないかなどを考慮しつつ、トレードオフで決定します。サービスによっては、どのような修正が必要か相談に乗ってくれる場合もあります。
2. 診断用の環境の準備が必要
診断サービスを受ける場合、診断用の環境を用意する必要があります。脆弱性診断では実際の攻撃に近い方法で、脆弱性の検出を行うため、大量アクセスや大量データの作成、メールの送信などが行われます。そのため、開発中の環境や本番環境ではなく、診断用に環境を用意することを推奨します。
直接的なデメリットではありませんが、診断サービスによっては診断ツールの結果レポートをそのまま報告書として納品する場合があります。多くの診断ツールは、脆弱性の可能性がある場合「検出」として判断するため、診断ツールによるレポートには大量の結果が含まれます。診断ツールが検出した内容は、開発者であっても理解できないことも多く、英語で出力されている場合もあるため、解析に多くの時間を必要とします。
失敗しないWebセキュリティ診断会社の選び方
Webセキュリティ診断サービスを行っている会社は世の中に多数存在しており、会社の規模やサービスの内容、料金などもさまざまです。実際に診断会社を選ぶときのポイントをご紹介します。
企業規模だけで判断するのはNG!サービス内容も合わせてチェック
上場企業だから優れた診断サービスができる、というわけではありません。ベンチャー企業と呼ばれる小さな会社でも、AIを利用した診断ツールを用いていることもあり、熟練の診断員による診断が行われる場合も多々あります。
一方、企業規模が大きければ、巨大なWebサイトでも希望の日時で診断ができる可能性は高くなり、定期的な診断などを依頼できる可能性もあります。企業規模だけで判断するのではなく、診断実績や事業内容、サービス内容と併せて判断するとよいでしょう。
サービス内容の確認すべきチェックポイント
診断会社によってサービスの提供の仕方はさまざまです。目的に合った診断会社を選ぶためにも、企業規模だけでなくサービス内容を次の観点でチェックするのをお勧めします。
料金体系
- 料金がはっきりと提示されているかどうか
- 追加料金やオプションの有無
- 他社と比べて安価または高価(他社の金額との差異についての説明の有無)
選び方① 「予算に応じたWebセキュリティ診断」を参照ください
診断内容
- 診断ツールはどのようなものを利用しているのか
- 診断員による手動診断の有無
- その他、優れた点はないか(AI、期間、実績など)
選び方② 「システムの特性に合わせた評価」を参照ください
選び方③ 「ハイブリッド診断(ツール診断+診断員による手動診断)」を参照ください
レポート(報告書)
- レポートとして提出される内容が十分かどうか
- レポートのサンプルが提供されるか
- 日本語で書かれているかどうか
- レポートが別料金になっていないか
選び方④ 「分かりやすい報告書 (日本語表記・ハイブリッド診断) 」をご参照ください
アフターケア
- 脆弱性検出後のオプションサービスの有無
- 診断員による詳細説明会などの有無
- 再診断の条件
詳しく解説!サービスに応じた診断会社の選び方
選び方① 予算に応じたWebセキュリティ診断
料金体系がWebサイトなどで明記されていない場合でも、無料の見積もりや相談がある場合は、こちらの予算に応じたWebセキュリティ診断ができるかどうか確認するとよいでしょう。
診断対象となるWebアプリを実際に確認してもらい、数パターンの対象選定をしてくれる企業や、予算が少ない場合などに、重点的に行う機能などを提案してもらえる企業もあります。
複数の診断企業から見積もりを取得して、金額の差異や対象箇所の違いなどをチェックすることで、より良いサービスを探し当てることができます。またオプションの数が多いほど、予算に合わせた診断設定ができるようになります。
選び方② システムの特性に合わせた評価
Webアプリケーションのシステム特性に合わせて、最終評価をしているかどうかをチェックするとよいでしょう。診断サービスの中には、検出された脆弱性の危険度に対して、悪用の実現度や想定される被害から適切な評価をするケースがあります。
例えば独立行政法人情報処理推進機構(IPA)で「危険度:High」とされている脆弱性が検出された場合でも、社内の限定的(クローズド)なシステムの場合、危険度を下げることも考えられます。
逆に「危険度:Low」とされている脆弱性であっても、他に検出された脆弱性などと組み合わせて、総合的に判断し「危険度:Medium」に危険度を上げることも考えられます。
提供している診断サービスが、どこまで柔軟に対応しているのかは重要といえるでしょう。
選び方③ ハイブリッド診断(ツール診断 + 診断員による手動診断)
多くの診断サービスでは独自の診断ツールを利用して、網羅的なチェックを行っています。診断ツールによる診断は、人間が診断するよりも短期間で広範囲、大量の脆弱性診断を行うことができます。しかし、汎用的にチェックを行うため誤検知も多く、高負荷になりやすい特徴があります。また、複雑な条件があるような場合、正しく診断できないこともあります。
診断サービスの中には、診断ツールとは別にセキュリティ診断員が手動にて脆弱性診断を行う場合があります。診断ツールとは違い、診断に時間を要することが多いのですが、限定的な条件でも脆弱性の検出を行うことができます。
診断ツールのみのサービスを提供している場合は比較的安価に、診断ツールと診断員が手動で診断を行う「ハイブリッド診断」の場合はやや高価になりやすい傾向です。診断対象の特性や目的に合った診断方法を選びましょう。
選び方④ 分かりやすい報告書(日本語表記・ハイブリッド診断)
報告書が日本語で表記されているか
報告書が日本語であるかどうかは重要です。脆弱性を改修する場合に報告書を参照することになりますが、英語などの母国語以外で表記されている場合、正しく文意を理解することが難しいことがあります。
また、最近では海外の優れたAIサーバーを利用した診断サービスなども存在していますが、ほとんどが英語で記載されており、実際には日本人の利用が難しいことも多くあります。
脆弱性の概要や再現手順などは、説明が難しい場合が多く、正しく理解するためにも日本語で書かれていることは最低条件であるといえるでしょう。
再現手順や悪用の実現度など、脆弱性の詳細が記載されているか
報告書によっては、脆弱性の概要と危険度、発生箇所だけが書かれたものもあります。それだけの情報では、対策方法を検討するために再現しようとしてみても再現方法が分からなかったり、その脆弱性によってどのような被害が起こりうるのかが分かりません。
再現手順や悪用の実現度、想定する被害などが記載されているものを選びましょう。
検出結果が精査されているか
次に、報告書が診断ツールの検出結果をそのまま利用されていないか確認が必要です。診断ツールの結果は誤検出の可能性が高く、実際に脆弱性を悪用できるかどうかを判定する必要があります。報告書作成時にどこまで実現可否を確認しているかを確認するとよいでしょう。
選び方⑤ 無料の再診断
診断サービスの中には、検出した脆弱性を修正した後、再診断を行うものがあります。再診断の有無や料金、再診断の対象となる危険度や脆弱性、再診断の利用期日などを確認しましょう。
まとめ
いかがでしたでしょうか?Webセキュリティ診断のメリット・デメリット、そして診断会社の選び方をご紹介いたしました。サイバー攻撃の被害は年々増加しており、決してひとごとでは済まされなくなってきています。ぜひこの機会にセキュリティ診断実施してみてください。
株式会社信興テクノミストでは、Webセキュリティ診断サービスをご提供しております。熟練のセキュリティ診断員による高精度なハイブリッド診断行い、分かりやすい報告書をご提供いたします。ご興味がある方はぜひサービスサイトをご覧ください。