脆弱性診断とは？ペネトレーションテストとの違いと活用方法

現代のデジタル社会において、私たちの生活はインターネットと密接に結びついています。スマートフォンやパソコンで日々の業務をこなし、オンラインショッピングやSNSでの交流を楽しむ一方で、サイバー攻撃の脅威も増大しています。脆弱性を悪用されたサイバー攻撃の企業被害が日常的にメディアで報じられる時代となりました。企業や個人の重要情報が狙われ、セキュリティの脆弱性が悪用されるケースが後を絶ちません。このような状況下、組織が自社システムの脆弱性とその実際の攻撃リスクを正確に把握することは、効果的なセキュリティ対策の基盤となっています。
脆弱性診断とペネトレーションテスト（侵入テスト）は、組織のセキュリティ体制を評価・強化するための二大手法として広く認知されています。両者は一見似ているように思われがちですが、目的、手法、範囲には明確な違いがあります。本コラムでは、これら二つの手法の特徴と違い、それぞれが効果を発揮するシーンについて解説し、組織のセキュリティレベル向上に向けた実践的なアプローチを提案します。

なお、本コラムの一部は、デジタル庁発行の「政府情報システムにおける脆弱性診断導入ガイドライン」を参考にしています。
参照：DS-221 政府情報システムにおける脆弱性診断導入ガイドライン（2024年2月6日）

脆弱性診断とは

脆弱性診断とは、OS、Webアプリケーション、ミドルウェア、ネットワークなど、企業の情報システム全体における弱点（脆弱性）を特定し、潜在的なリスクを評価する手法です。専門的なソフトウェアによるツール診断と専門家による手動診断があり、セキュリティの専門家が分析を担当します。セキュリティ上の問題を検出することから「セキュリティ診断」とも呼ばれています。
この診断では、対象システムやアプリケーションにCVE（Common Vulnerabilities and Exposures）などのデータベースに登録された既知の脆弱性が存在するかを確認します。なお、CVEとは公開されたソフトウェアやシステムの脆弱性を一意に識別するための共通識別番号であり、脆弱性情報の収集や共有を効率化しています。CVEの詳細については、別コラムをご参照ください。

例えば、Webアプリケーションの脆弱性診断では、SQLインジェクションやクロスサイトスクリプティング（XSS）などの一般的な攻撃手法に対する耐性を評価します。脆弱性診断は定期的に実施することで、新たな脅威に対する防御力を維持し、システムの安全性を確保します。

脆弱性診断の主な特徴は以下の通りです。
- 対象システム全体を広く浅くスキャンし、多くの脆弱性を網羅的に検出
- 特定のターゲットへの深い侵入よりも、システム全体のセキュリティ状況の把握に重点
- 新たな脆弱性が日々発見されるため、四半期ごとなど定期的な実施を推奨

一般的な脆弱性診断の種別

脆弱性は企業の情報システム全体に様々な形で存在しています。それぞれの脆弱性を効果的に発見するためには、システムの各領域に適した診断手法を選択する必要があり、脆弱性診断は対象領域によっていくつかの種別に分類されます。以下では、これらの診断種別について説明します。

Webアプリケーション診断

対象のWebアプリケーション（Web APIを含む）に対して疑似的な攻撃リクエストを送信し、情報漏えいやサイト改ざんにつながる脆弱性の有無を確認するサービスです。診断手法は、ツール診断、専門家による手動診断、およびその併用の3種類に分類されます。情報処理推進機構（IPA）の「安全なウェブサイトの作り方」などのセキュリティ標準への準拠を謳うサービスも提供されています。

この診断では、主に以下の脆弱性を検出します。
- Webアプリの仕様に起因する脆弱性（例：管理者権限機能の不適切なアクセス制御）
- Webアプリの実装に起因する脆弱性（例：SQLインジェクション）
- 利用するWebアプリミドルウェア固有の脆弱性（例：フレームワークやライブラリの既知の脆弱性）

ソフトウェアにより自動で実施するツール診断は効率的ですが、仕様に起因する脆弱性の検出には限界があります。また、Webアプリの内部実装に関する深い理解を要する脆弱性や、特定の制限を迂回する必要がある脆弱性は見落とされがちです。そのため、専門家による手動診断での補完が重要とされています。なお、手動診断はツール診断と比較して時間と労力を要するため、スケジュールと費用が増加する傾向があります。

プラットフォーム診断

サーバーやネットワーク機器に対する疑似攻撃を行い、脆弱性やセキュリティリスクを検出する診断手法です。Webアプリ診断と同様に、自動化ツールを主体としながらも、誤検出（偽陽性）の精査や自動検出できない脆弱性については専門家による手動診断で補完します。この診断で検出される主な脆弱性には、不要ポートの開放、脆弱なソフトウェアの利用、設定不備、プロトコル固有の脆弱性などがあります。診断結果に基づいて実際の攻撃可能性を評価し、対策の優先度を判断します。
診断は実施場所により以下の2種類に分類されます。

1. 外部診断（リモート診断）
- グローバルIPアドレスを持つインターネット公開機器が対象
- セキュリティ境界の外側から攻撃者が悪用できる脆弱性を特定

2. 内部診断（オンサイト診断）
- 社内ネットワークやLAN内のプライベートIPアドレスを持つ機器が対象
- 内部犯や侵入済みの攻撃者が悪用できる脆弱性を特定

初めて診断を実施する場合は、外部診断を優先することをお勧めします。診断費用はどちらもIPアドレス数に応じて変動します。なお、内部診断では現地作業が必要となるため、追加費用が発生する場合があります。

スマートフォンアプリ診断

本診断サービスは、Android および iOS/iPadOS アプリケーションの脆弱性を検出するものです。診断範囲はアプリ本体だけでなく、アプリとサーバー間の通信も含みます。
診断手法としては、自動解析ツールの活用、リバースエンジニアリング、通信内容の検査などを組み合わせて実施します。具体的には下記の3種類の脆弱性を主に検出します。

（A）アプリ本体の脆弱性　　例：他のアプリから機密情報が参照可能
（B）通信路の脆弱性　　例：機密情報の平文送受信
（C）外部サービスの脆弱性　　例：ハードコードされた認証情報を利用した不正アクセス

近年、アプリ内にハードコードされた認証情報などリバースエンジニアリングによって発見される脆弱性が増加しています。このような脆弱性を事前に防止するためには、ソースコードレビューやリバースエンジニアリングを含む包括的な診断サービスの選定が重要です。

その他脆弱性診断

これまでに述べた脆弱性診断の他にも、様々な種類の診断サービスが存在します。例えば、情報システムだけでなく制御システムやIoT機器を対象とするもの、クラウドサービスの設定内容に問題がないかを確認する診断などがあります。

ペネトレーションテストとは

次にペネトレーションテストについてです。英語で「Penetration Testing」となるため、略してペンテスト（PenTest）とも呼ばれています。
これは実際の攻撃者の手法を模倣して、システムへの侵入可能性を実証的に検証し、防御の強度を評価する手法です。単なる脆弱性の列挙に留まらず、それらの脆弱性が実際に悪用可能かどうか、また複数の脆弱性を組み合わせることでどのような深刻な被害が生じ得るかを評価します。
ペネトレーションテストを行うテスターは、攻撃者が利用する可能性のある手法を模倣し、システムの脆弱性を突いて侵入を試みます。例えば、ネットワークペネトレーションテストでは、外部からの侵入を試みることで、ファイアウォールや侵入検知システムの効果を評価します。実際の攻撃シナリオを想定して行われるため、脆弱性診断よりも実践的な評価が可能です。

ペネトレーションテストは、一般的に次のフェーズに沿って実施されます。

1. 偵察（Reconnaissance）：対象組織やシステムに関する情報を収集
2. スキャニング（Scanning）：ネットワークマップの作成や脆弱性の特定
3. 脆弱性の悪用（Exploitation）：発見した脆弱性を活用したシステム侵入の試み
4. 権限昇格（Privilege Escalation）：より高い権限の獲得を目指す
5. 内部探索（Post-Exploitation）：侵入後の横展開や情報収集
6. 痕跡の消去（Covering Tracks）：侵入の痕跡を消す試み

ペネトレーションテストの主な特徴は以下の通りです。

・実践的なアプローチ：実際のサイバー攻撃シナリオに基づいて、専門技術を持ったホワイトハッカーが手動でテストを実施します。これにより、現実世界の攻撃者が使用する可能性のある高度な手法や複合的な攻撃パターンをシミュレートできます。
・深さ重視の検証：特定のシステムや経路に焦点を当て、どこまで深く侵入できるかを検証します。単一の脆弱性だけでなく、複数の弱点を連鎖的に活用する攻撃経路も特定します。
・ビジネスへの影響度評価：技術的な脆弱性だけでなく、それがビジネスにもたらす実際のリスクや影響を評価し、経営層にも理解しやすい形で報告します。

脆弱性診断とペネトレーションテストの主な違い

脆弱性診断とペネトレーションテストは、いずれもセキュリティ強化に不可欠なプロセスですが、その目的、アプローチ、成果物において重要な違いがあります。

まず、目的の違いです。脆弱性診断は「何が問題か」を特定することに主眼を置いています。つまり、システムに存在する潜在的な脆弱性を網羅的にリスト化し、それらの深刻度を評価します。一方、ペネトレーションテストは「攻撃者は実際に何ができるか」を実証することを目的としています。既知の脆弱性が実際に悪用可能かどうか、また複数の脆弱性を組み合わせることでどこまで侵入できるかを検証します。
次に、アプローチの違いです。脆弱性診断は主に自動化されたツールを使用し、広範囲にわたるシステムを効率的にスキャンします。対象システムに負荷をかけないよう配慮され、通常の業務に影響を与えにくい特徴があります。これに対し、ペネトレーションテストは、自動化ツールと手動技術を組み合わせ、実際の攻撃者の思考と行動を模倣します。より侵襲的な手法を用いることもあり、場合によっては本番環境への影響を考慮する必要があります。

さらに、成果物の違いも重要です。脆弱性診断の結果は、検出された脆弱性のリストとその重要度評価が中心です。一方、ペネトレーションテストの報告書には、実際に侵入に成功した経路や、ビジネスへの具体的な影響評価、より実践的な対策提案が含まれます。経営層に対するリスクコミュニケーションという観点では、ペネトレーションテストの報告書の方がインパクトがあり、セキュリティ投資の必要性を訴求しやすい傾向があります。

コスト面でも差異があります。一般的に、脆弱性診断はペネトレーションテストよりも低コストで実施できます。自動化ツールの利用が中心であり、専門性の高い人材を長期間確保する必要がないためです。一方、ペネトレーションテストは高度なスキルを持つ専門家によって手動で実施される部分が多く、より高コストになります。

実施頻度の観点では、脆弱性診断は四半期ごとなど、診断を実施する対象システムの規模や重要度に応じて定期的に実施されることが理想的です。これに対し、ペネトレーションテストは半年に一度や年に一度など、より長いインターバルで実施されることが一般的です。システムの大幅な変更やアップデート後には、追加でテストを実施することが推奨されます。

それぞれの手法が効果を発揮するシーン

脆弱性診断とペネトレーションテストは、それぞれ異なるシーンで最大の効果を発揮します。組織の状況やセキュリティ成熟度に応じて、適切な手法を選択することが重要です。

脆弱性診断が特に有効なシーン

セキュリティプログラムの初期段階にある組織では、まず脆弱性診断から始めることが推奨されます。基本的なセキュリティ対策が整っていない段階でペネトレーションテストを実施しても、多数の基本的な問題が検出されるだけで、費用対効果が低くなる可能性があります。
リソースやセキュリティ予算が限られている中小企業にとっても、脆弱性診断は効率的な選択です。比較的低コストで定期的に実施でき、基本的なセキュリティ対策の有効性を確認できます。
さらに、システム更新やパッチ適用後の検証にも適しています。新たなコンポーネントの導入や設定変更によって、意図せず脆弱性が生じていないかを効率的に確認できます。

ペネトレーションテストが特に有効なシーン

高度なセキュリティが求められる金融機関や医療機関、重要インフラ事業者などは、実際の攻撃シナリオに基づく深い検証が必要です。ペネトレーションテストにより、複合的な攻撃経路や高度な手法に対する耐性を評価できます。
新しいオンラインサービスやアプリケーションのリリース前の検証も重要なユースケースです。本番環境に展開する前に、セキュリティの実効性を徹底的に検証することで、サービス開始後の障害やインシデントリスクを低減できます。
また、セキュリティ対策の実効性を経営層に対して実証する必要がある場合にも有効です。具体的な侵入シナリオとビジネスへの影響を示すことで、セキュリティ投資の重要性を説得力ある形で訴えることができます。

理想的なアプローチ

最も効果的なのは両手法を組み合わせることです。例えば、定期的な脆弱性診断（月次または四半期ごと）をベースラインとし、年1～2回のペネトレーションテストでより深い検証を行うというサイクルが効果的です。また、重要なシステム変更や新サービスリリース時には、その都度適切な検証を実施することが推奨されます。

実施する際の注意点と成功のためのポイント

脆弱性診断やペネトレーションテストを効果的に実施するためには、いくつかの重要な注意点があります。

まず、明確なスコープと目標設定が不可欠です。テスト対象となるシステムやネットワークの範囲、除外すべき領域、テストの深度や制約条件などを事前に明確に定義する必要があります。曖昧なスコープ設定は、重要な領域の見落としや、不必要な領域への過剰なリソース投入につながる恐れがあります。

次に、適切なタイミングとスケジュール管理も重要です。ビジネスへの影響を最小限に抑えるため、業務のピーク時を避け、影響が許容できる時間帯にテストを実施することが望ましいです。特にペネトレーションテストは、システムパフォーマンスに影響を与える可能性があるため、計画的な実施が必要です。

また、社内関係者への適切な通知と調整も欠かせません。IT部門だけでなく、経営層や法務部門、場合によっては顧客サポート部門なども含めた関係者に、テストの目的や範囲、想定されるリスクについて事前に説明し、理解を得ることが重要です。

重要な注意点として、テスト実施者の資質と倫理観の確認があります。特にペネトレーションテストでは、システムやデータに対する高いアクセス権を持つことになるため、テスター自身の信頼性や守秘義務の遵守が不可欠です。実績のある企業や認定資格を持つ専門家を選定することが推奨されます。

成功のための鍵としては、以下の点が挙げられます。

第一に、発見された脆弱性への迅速かつ体系的な対応です。診断やテストで特定された問題に対して、リスクベースのアプローチで優先順位を付け、計画的に対策を実施することが重要です。特に高リスクの脆弱性については、暫定的な緩和策と恒久的な解決策の両面から検討すべきです。
第二に、継続的な改善サイクルの確立です。単発のテストではなく、「診断→対策→検証→改善」というPDCAサイクルを継続することで、セキュリティレベルを段階的に高めていくことができます。各サイクルでの教訓を組織の知見として蓄積・共有することも重要です。
第三に、セキュリティ意識の向上と組織文化の醸成です。テスト結果を活用して、開発者やシステム管理者向けのトレーニングや啓発活動を行うことで、日常業務の中でもセキュリティを意識した行動を促進することができます。

脆弱性診断サービスの選定

高度化するサイバー攻撃の脅威を未然に防ぐためには、十分な経験と能力を有するセキュリティベンダーの選定が重要です。選定にあたっては、経済産業省が定める「情報セキュリティサービス基準」（https://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html）への適合確認に加え、脆弱性検出能力を評価するため、以下の点を確認することが有効です。

・ペネトレーションテストの国際資格保有状況
・CTF（Capture The Flag）などのセキュリティコンテストでの上位入賞実績
・国内外の脆弱性届出制度や開発者等への報告・調整実績

また、診断サービスを調達する際は、上記基準に沿った有識者や有資格者が診断においてどのような役割で、何名が、どの期間関わる予定かを確認することが望ましいとされています。
診断サービス選定においては、ツール診断のみでは不十分であり、専門家による手動診断との併用が不可欠です。さらに、手動診断においても、事前に定義された脆弱性を網羅的に検出することに加え、専門家の知見に基づくリスクベースの追加脆弱性検出を試みるサービスを併用することが必要です。
これらの基準を満たしたサービスを選定されることをお勧めします。

ALSOKの脆弱性診断サービス

当社も『脆弱性診断・ペネトレーションテスト』サービスを提供しており、特に金融機関のお客様にご利用いただいている実績がございます。
診断サービスとして、以下6つのプランをご用意しています。

・Webアプリケーション診断：手動診断も組みあわせた網羅性の高い診断を実施。gRPCなど複数の規格にも対応
・プラットフォーム診断：脆弱性スキャナによるスキャンに加え、技術者による手作業での詳細診断を実施
・スマホアプリ診断：iOS/Androidの両方に対応し、高度なリバースエンジニアリングまで実施
・クラウド診断：AWS/Azure/GCPを中心に、コンテナ構成やサーバレス構成まで対応
・ペネトレーションテスト：シナリオとゴールを設定し、OSINTやダークウェブ分析などからアタックポイントを特定
・IoT診断：IoTデバイスのセキュリティ問題を「ソフトウェア解析」と「ハードウェア解析」を通じて評価

診断体制については「GMOサイバーセキュリティ byイエラエ株式会社」と提携し、高品質なサービス提供体制を整えております。同社には、バグバウンティの報告や世界的なセキュリティコンテストでの優勝経験を持つ世界トップクラスのホワイトハッカーが多数在籍しています。標準的な脆弱性診断では見つけられないような脆弱性をも検出し、診断環境のセキュリティリスクを徹底的に洗い出します。なお、診断プランによってはGMOサイバーセキュリティ byイエラエ株式会社以外の企業が検査を実施する場合もございます。
詳細については、サービス紹介ページをご確認ください。

まとめ