セキュリティの
学び場

脆弱性診断とは

脆弱性診断（セキュリティ診断）は、情報システムや情報資産への侵害を許すような脆弱性や欠陥を、外部から検査して報告するサービスです。健康診断では聴診器やレントゲンで身体の情報を収集して病気の兆候を見つけるように、脆弱性診断では様々な方法でシステム応答を収集して脆弱性を発見します。

検査する範囲によって「Webアプリケーション診断」「プラットフォーム診断」「クラウド診断」などと呼びます。

脆弱性診断に有用なツール

ここでは脆弱性診断に有用なツールを紹介します。

Webアプリケーション診断ではブラウザ等のWebクライアントが欠かせませんが、他の必需品に「MITMプロキシ」があります。一般的なプロキシはサーバとクライアントの間でHTTP通信を中継しますが、 MITMプロキシは中継する通信内容を閲覧、改ざんし、中間者（Man-in-the-middle）攻撃を再現します。MITMプロキシ製品としては OWASP ZAP や Burp Suite などが知られています。

MITMプロキシはHTTPS通信の復号や通信改ざんのほか、製品によってCookieやHTTPヘッダの自動制御や脆弱性スキャン等といった様々な機能が提供されています。 このツールを活用し、クロスサイトスクリプティングやSQLインジェクションといった脆弱性を効率的に検査しています。

一方、プラットフォーム診断で一般に利用されるツールは「ポートスキャナ」と「脆弱性スキャナ」です。 ポートスキャナはオープンソースの Nmap が最も有名で、脆弱性スキャナ製品としては OpenVAS や QualysGuard、Nessus などが知られています。

ポートスキャナはネットワーク内のサーバやそのサーバ上で稼働するサービス（Webサービス、FTPサービスなど）を列挙します。意図しないサービスが有効でないかを検査したり、脆弱性スキャンの対象を洗い出したりすることを目的としています。

脆弱性スキャナは各サービスや製品にパケットを送って「既知の脆弱性」を検出します。 インターネット上の製品について報告された脆弱性はデータベース化されて公開されており、著名なデータベースのひとつにMITRE（マイター）社が管理するCVE（共通脆弱性識別子）があります。 脆弱性スキャンで見つかった既知の脆弱性に対して製品へのパッチ適用やアップデートなどを行うことにより、攻撃の口をふさぐことができます。

診断基準の選定

ここまで脆弱性診断とそのツールについて説明しましたが、脆弱性診断においてもっとも重要なことのひとつは「基準を定め、網羅的な検査を行う」ことであると言えます。診断基準とは、検査する項目リストを定めるフレームワークのことです。たとえばWebアプリケーション診断では「OWASP」という団体が公開している「アプリケーションセキュリティ検証基準（ASVS）」というドキュメントを基準としています。ASVSには認証やアクセス制御などのカテゴリごとにWebアプリケーションの満たすべき要件が列挙されています。同じOWASPの公開している「OWASP TOP 10」を診断基準とする場合もあります。一方でプラットフォーム診断では前述した脆弱性データベースのCVEを基準としています。

このように、診断基準を広く知られた（あるいは十分な議論を経て作成された）ものに定めることで「診断範囲の妥当性」を裏付けることができます。また、明確な診断基準に基づき、テストケースを設計、検査することで、「脆弱性があったこと」だけでなく、「脆弱性が検出されなかったこと」を定量的に担保できます。