脆弱性診断

公開しているウェブシステムやネットワーク機器に既知の弱点が残っていると、攻撃者の侵入口になる。脆弱性診断は、ツールによる自動検査や技術者による手動検査で、設定の不備、古いソフトウェアの放置、認証の甘さなどを洗い出す作業である。実際に攻撃手法を試して侵入可否を確かめるペネトレーションテストは、より深く弱点を突く点で診断と区別される。自治体では、外部公開システムの新規構築時や改修時、定期点検として実施し、見つかった弱点を危険度に応じて修正する。診断は一度きりではなく、新たな脆弱性が日々公表されるため、継続的に回す運用が前提となる。担当者にとっては、診断の結果を一覧化して終えるのではなく、修正の優先順位づけと是正完了の確認までを一連の流れとして回す点が要点となる。

診断とペネトレーションテストの違い

脆弱性診断は、既知の弱点を網羅的に洗い出すことに重きを置く。ツールによる自動スキャンと手動の確認を組み合わせ、ソフトウェアの古いバージョンや設定の不備、よくある脆弱性が残っていないかを広く点検する。これに対しペネトレーションテストは、攻撃者の視点で特定の侵入シナリオを立て、見つかった弱点を実際に突いてどこまで侵入・情報取得ができるかを検証する。前者は「弱点の一覧」を、後者は「現実に被害が起きうるか」を明らかにするもので目的が異なる。対象システムの重要度や守りたい資産に応じ、まず網羅診断で土台を点検し、重要系には侵入検証を重ねるといった使い分けをする。

是正までを管理する

脆弱性診断は弱点を見つけて終わりにせず、危険度に応じた修正の優先順位をつけ、修正計画を立て、対処後に再診断して是正されたことを確認するまでを一連の管理とする。すべてを直しきれない場合は、影響範囲や悪用の難しさを踏まえて受容するか暫定的に緩和するかを判断し、その理由を記録に残す。委託で実施する場合も、報告書を受け取って満足するのではなく、検出・報告までが受託者の責任で、是正は発注者側が担うのか修正も含むのかといった責任分界をあらかじめ契約で明確にしておく。曖昧なまま進めると、見つかったのに直されない弱点が放置される。