Facebook x

ジャンル

ツール・機能・アプリ 2024.01.18
x hatenabookmark

活用度の高いセキュリティ・脆弱性診断ツール5選

執筆: Qbook編集部

ライター

活用度の高いセキュリティ・脆弱性診断ツール5選

Webアプリケーションの開発は納期に追われることが多く、Webサイトのセキュリティ対策に十分時間をかけられないこともあります。しかし、近年ではサイバー攻撃の対象は官公庁や大企業だけとは限りません。企業やWebサイトの規模によらずサイバー攻撃の件数は年々増えているので、サーバーやネットワークのセキュリティ対策はどんな企業にとっても欠かせないと言えるでしょう。
今回は、セキュリティ診断の種類や、セキュリティ・脆弱性診断ツールの選び方などについてご説明します。

もくじ
  1. 代表的なセキュリティ診断と注意事項
  2. セキュリティ診断の手法
  3. 脆弱性診断ツール5選
  4. 脆弱性診断ツールの選び方
  5. おわりに

代表的なセキュリティ診断と注意事項

8607-00042-2

セキュリティ診断と一口に言っても、対象や項目など診断の種類は様々です。ここでは代表的な診断を2つ挙げます。1つは「Webアプリケーション診断」、もう1つは「プラットフォーム診断」です。

Webアプリケーション診断

Webアプリケーション診断とは、アプリやサイトそのものの脆弱性を診断することです。Webアプリケーションに脆弱性があると、その構造の弱さにつけ込まれて大事な顧客情報を抜き取られるとか、アプリ・サイト上の情報を書き換えられてしまう場合があります。このような事態を引き起こす代表的なサイバー攻撃の手法としては、SQLインジェクションや、クロスサイトスクリプティング、セッションハイジャックなどがあります。

これらの被害を未然に防ぐために、典型的なサイバー攻撃をそれぞれ擬似的に発生させ、対応できているのかを確認するのが主な診断方法となります。

ただし、WebアプリケーションやWebサイトの構造に合った診断内容になっていなければ、対策が不十分な場合もあります。上記のようなサイバー攻撃からWebアプリ・Webサイトを守るためには、サイトやアプリの設計・構造の理解が必要で、内部の仕組みに合わせた診断方法を都度選び取っていくのが良いでしょう。

プラットフォーム診断

プラットフォーム診断とは、ミドルウェア、サーバー、ネットワーク、OSなどの脆弱性を診断することです。例えば、社内のファイル管理サーバーやメールサーバーなどに、外部もしくは内部から悪意を持ったユーザーが侵入してしまうと、重要情報の流出や情報の改ざんが行われる危険性があります。これを未然に防ぐのがプラットフォーム診断です。
現在はファイアウォールの普及により一定のサイバー攻撃は防げる状態になっていますが、設定ミスがあったり、ファイアウォールが機能しないアクセスを許可された端末からの侵入があると、攻撃を防ぐことができません。

プラットフォーム診断では、このようなプラットフォームの性質から起こる脆弱性を2つのアプローチで対策します。1つは外部からの攻撃を想定してインターネット経由で 診断する「リモート診断」で、もう1つは悪意のある内部のユーザーからの攻撃を想定した内部セグメントから診断する「オンサイト診断」です。このような異なる側面から、侵入手段の再現やアクセス可否、実際の被害の影響度の測定などを行なっていくのが良いでしょう。

セキュリティ診断の手法

セキュリティ診断は、その実施方法によってまた2つに大別されます。これは、手動で行う「手動診断」と専用のツールを用いて行う「ツール診断」です。
どちらもメリット・デメリットがありますので、状況とテストの目的によってうまく使い分けるのが良いでしょう。

手動診断のメリット・デメリット

手動診断は、実際にサイバー攻撃をする人間が行う手順を擬似的に再現する、という観点で最も効果が高い方法だと言えます。サイバー攻撃の背景には常に悪質なハッカーがおり、彼らは知識とノウハウを活用してあらゆる攻撃を仕掛けてくる可能性があります。そこで、手動で想定した攻撃方法を柔軟に再現でき、怪しい箇所をその場の状況を考慮して柔軟に調査できる手動診断は、診断の品質が高い傾向にあります。

しかし一方で、手動診断はセキュリティの知識を持った人材を登用し、ある程度時間をかけて実施する必要があります。工数や人材の確保ができなければ実施できない上、人に依存するので人的ミスで誤診断が起こる可能性もあります。

ツール診断のメリット・デメリット

診断ツールはあらかじめ決まった内容を網羅的・高速で実施することができるので、総じてコストが安く実施難易度も低い傾向にあります。人に依存しないので、夜間実行や定期実行することでツールが保証する内容を長期的かつ確実に保証することができます。

一方で、ツールは比較的浅い調査を網羅的に行うという性質があるため、より複雑な脆弱性は見逃してしまう可能性もあります。決まった項目を機械的に確認するので、例えば複数の脆弱性が重なった結果発生しうる被害を検知できないこともあるでしょう。

また、種類によりますが、ツール自体が高額なケースもあります。長期的な運用と費用対効果は常に考慮してツールの導入を決定するのが必須と言えます。

脆弱性診断ツール5選

8607-00042-3

脆弱性診断ツールは、デメリットはあれど、目的に沿ったものを選択すれば依然として有効に利用できます。ただし、脆弱性診断ツールは診断の品質が高いものほど高額である場合が多いです。しかし、中には無料のものでしっかり活用すればセキュリティ品質の向上に繋がるものもあります。
ここでは、いくつか有名なツールとその特徴をご紹介します。

なお、セキュリティ・脆弱性診断は疑似攻撃を実施しその応答を確認して判断するため、どのツールを用いる場合も、自分の管理下にない環境やサイトおよびアプリに対して使用すると、法律を抵触する場合があるので注意が必要です。そのため、ローカル内およびご自身の管理下でのみ利用しましょう。
さらに、AWSなどの一般的なパブリッククラウドをご利用の場合は事前にセキュリティ診断を実施してもよいかクラウド事業者に確認が必要です。

OWASP ZAP

Webアプリケーションの脆弱性を調べる診断ツールです。主に、「簡易スキャン」「静的スキャン」「動的スキャン」の3種類のアプローチが可能です。どの手法でも、Webアプリケーションに対してリクエストを送り、それに対するアプリケーションの反応を見てツールが脆弱性箇所を検知・報告してくれます。
非常に簡易的な調査に限られますが無料で活用できるので、セキュリティ対策に乗り出す際に試しに利用してみる、といった使い方も良いでしょう。

BurpSuite

Webサーバーとブラウザ間の通信内容を確認するプロキシツールです。Webアプリケーションの中でも、特にWebサーバーとブラウザ間での通信に特化した脆弱性チェックが可能です。例えば、リクエスト内パラメータをクエリやスクリプトを組み込み改竄したリクエストを送信した場合、サーバーにて誤動作を起こさないか確認できます。
 それによってSQLインジェクションやクロスサイトスクリプティング等の脆弱性の有無を確認するのに有効です。一部の機能を搭載した無償版とすべての機能を搭載した有償版が存在します。

Nikto

NiktoはWebアプリケーションとミドルウェアに対応したオープンツール(GPL)のセキュリティ診断ツールです。Webサイトをアプリやミドルウェアなどの包括的な観点でチェックできるツールですので、検知できる脆弱性の種類が多く、調査の網羅性も高いです。
オープンソースですのでプラグインの拡張もできますし、無償で利用可能です。

Nmap

ネットワークの調査・脆弱性診断を行うオープンソースのポートスキャンツールです。具体的には、ネットワークを介して調査し、ポートスキャン機能におけるOSの確認やサービスのスキャンができます。このツール自体、管理者に知られることなくサイトの情報をスキャンできるため、サイバー攻撃の実行者が利用することもあります。無償で利用可能ですが、不正利用するとセキュリティ保護の観点で法的措置を受ける恐れがあるので、むやみに実行しないようにしましょう。

Nessus

サーバーに脆弱性がないか検証する、脆弱性スキャナツールです。WindowsやMac 、Linux以外にも様々なプラットフォームに対応しており、基本的な脆弱性から設定ミス・パスワードの脆弱性まで幅広く検知できるので、利便性が高いと言えます。スキャン結果を一覧で出力できたり、検証の設定を変更できたりと、柔軟な検証もできます。
企業内での利用には有償ライセンス契約が必要ですが、契約前の体験版もあります。一方で無償ライセンスもありますが、実施回数および一部機能に制限があります。

脆弱性診断ツールの選び方

手法や達成したい目的によってさまざまな脆弱性ツールが存在します。しかし、時間やコストを考慮すると、あらゆるセキュリティ診断を継続的に実施していくことは難しいでしょう。

セキュリティ診断を戦略的に行なうために

セキュリティ診断を戦略的に行なっていくには、脆弱性診断を自動で行うことができるツールを効果的に導入するのが良いでしょう。ツールが導入できれば、診断の実行頻度や時間、社内リソースの調整が不要になるので、自動化できるところは自動化しておくのが最善だと言えます。

脆弱性診断ツールを選ぶにあたり

ツールを選ぶにあたっては、自社のシステムやITサービスの理解と起こりうるリスクの影響度を判断することが重要です。脆弱性、特にWebアプリケーションの脆弱性は、システムの構造や設計によるところが大きいです。したがって、事故を引き起こす可能性のある脆弱性も、その内部構造に起因します。

ツール導入以前に、まずは自社のシステムやアプリを専門家に調査してもらい、内部構造と脆弱性のリスクを検知しておくことが重要でしょう。この調査を通じて発生しうるセキュリティ事故とその影響度が明らかになれば、それらのリスクを最小化することに貢献できるツールを選びやすくなります。

おわりに

今回の記事では、セキュリティや脆弱性を診断する方法と診断を自動化できるツールについてご紹介しました。セキュリティ診断を行う対象とその手法によって大きく大別できるセキュリティ診断手法ですが、どの手法を選ぶかは診断対象のWebシステムや企業内で抱える課題にもよります。

セキュリティ診断を導入して解決したい課題や導入する目的を再認識し、適切なツールや手法を導入するのが良いでしょう。その際に、便利なツールが存在することを知っておき、自動化をうまく活用してコスト削減・品質向上を賢く行なっていくことがキーポイントになります。

資料ダウンロード

ツール・機能・アプリ
x hatenabookmark

執筆: Qbook編集部

ライター

バルテス株式会社 Qbook編集部。 ソフトウェアテストや品質向上に関する記事を執筆しています。