効率的な脆弱性診断の仕組みを構築するには、目的に応じた手法を適材適所に活用することが求められます。そこで今回は、脆弱性診断の手法、活用度の高い脆弱性診断ツールをピックアップして紹介します。脆弱性診断ツールは、少ない人的負担で脆弱性診断を行うために重要な役割を果たします。
脆弱性診断・脆弱性検査の手法を把握する
脆弱性診断の手法を大きく分類すると、手動診断とツール診断の2種類があります。それぞれのメリット、デメリットをまずは押さえておきましょう。
◆手動による脆弱性診断
手動診断は、その名の通り人が手動で行う診断です。実際に人の目で確認しながら行うため、細かく柔軟な対応が可能な点がメリットです。一方デメリットは、テストに要する時間がツールに比べてかかること、人員の確保が必要なためコストも高くなることです。
◆ツールによる脆弱性診断
テストを自動化できるツールを用いた診断方法です。手動診断に比べると、診断の速度が速く、多くのテストを短い期間で行える点がメリットです。人的負担も少なく、コストも削減できます。ただし、あらかじめ決められた条件での判断となるため、手動に比べると柔軟性は低く、細かな点まで配慮が及ばない点がデメリットです。
実際に脆弱性診断を行う場合は、診断対象や求める精度に加え、使えるコスト、時間、人員などの条件を総合的に検討し、適した手法を選択することが求められます。全体をツールでカバーしつつ重要な箇所のみ手動で診断する、最初にツールで診断した結果をもとに手動で再確認する場所を絞り込むなど、ツールを上手く活用すると、費用対効果の高い脆弱性診断の仕組み構築につながります。
※注意点:
ツールの使用有無に限らず脆弱性診断のような行為を行う際には、必ず自身の管理下のサーバもしくは対象サーバの保有者の許可を得て行うようにしてください。
自身の管理下にないサーバに対して無許可で攻撃を実施した場合、不正アクセスとみなされる場合があります。
脆弱性診断・脆弱性検査ツールの紹介
脆弱性の診断にツールを効果的に取り入れたいと考えた場合、最初に悩むのが「どのツールを使えばいいのか」という問題でしょう。脆弱性の診断ツールと一口に言っても、その機能や適した用途はさまざまです。そこでここでは、一般的に広く知られる脆弱性診断ツールの定番を紹介します。どのようなツールがあるのかをチェックしてみましょう。
【OWASP ZAP】初心者にも使いやすい簡単さが魅力
・対象URL https://www.owasp.org/index.php/Main_Page
OWASP ZAPは、自動診断型のwebアプリケーションの脆弱性テストツールです。使いやすさと検知度の高さから、脆弱性診断を簡単に実行できるオープンソースツールの定番として広く知られています。
指定したURLから脆弱性診断対象のリンクを辿る機能や、その結果取得したURLに対し自動で脆弱性診断を行う機能などがあり、webアプリケーションにおける主要な脆弱性を幅広く診断できます。メニューの日本語対応、シンプルな操作での自動実行機能など、こうしたツールの利用に不慣れな初心者でも比較的容易に利用できます。Windows、Mac、Linuxなどで動作します。
※注意点:
OWASP ZAPには攻撃モードというモードがあり、これをONにするとプロキシを通してアクセスした全てのWEBサイトに対して無差別で攻撃を仕掛けてしまいます。うっかりだった場合でも不正アクセスになってしまうため、不用意にONにすると危険です。
【Burp Suite】リクエストの改ざんテストもOKのローカルプロキシ
・対象URL https://portswigger.net/burp/
Burp Suiteは、webサーバーとブラウザの間の通信を確認するのに役立つローカルプロキシツールで、webアプリケーションの脆弱性診断に広く利用されています。
webサイトに送るリクエストを改ざんし、脆弱性の有無をテストする機能や、脆弱性診断対象のリンクを辿る機能、その結果取得したURLに対して脆弱性診断を行う機能などを擁しています。インターフェイスは英語で、有料版と無料版が提供されており、無料版は一部の機能が制限されています。
【Nikto】公表済みのセキュリティホールを検出できる
・対象URL https://cirt.net/Nikto2
Niktoは、webアプリケーションとミドルウェアに対応したオープンツールの脆弱性診断ツールです。
既知のセキュリティホールやセキュリティの問題が含まれていないかを、webサーバーとその中で稼働しているwebアプリケーションに対してスキャンできます。Windows、Mac、Linuxなどで動作します。
【Nessus】ネットワーク機器の定番脆弱性スキャナ
・対象URL http://www.tenable.com/products/nessus-vulnerability-scanner
Nessusは、サーバーなどのネットワーク機器をスキャンし、脆弱性の検出が行えるツールです。「脆弱性スキャナ」と呼ばれるこの種のツールの中でも、定番の1つとなっています。対象のサーバーに対する脆弱性の診断に加え、サーバーの使用ソフトウェア対する既知の脆弱性の有無、設定ミスなどを調べることができます。
無償で利用可能な個人向けライセンス(一部機能制限あり)と有料版が提供されていて、Windows、Mac、Linuxなどマルチプラットフォームで動作します。
【Nmap】ポートスキャン機能が充実
・対象URL https://nmap.org/
Nmapは、広く知られるオープンソースのセキュリティスキャナツールです。代名詞とも言えるポートスキャン機能に加え、OS検出ネットワーク上の利用可能なホストや、そのOSの確認、リモートマシンに対して実行されているサービスのスキャンなど、多彩な機能を備えています。
中でもポートスキャン機能は大変充実していて、シンプルなコマンドで多数のTCPポートをスキャンすることが可能です。Windows、Mac、Linuxなどマルチプラットフォームで動作します。
まとめ
脆弱性診断の効率的な実施には、適した手法、ツールを組み合わせることが重要です。システムに求められている安全性、必要とされる要素から、そのセキュリティ確保に最適な脆弱性診断の仕組みを構築しましょう。
◆脆弱性診断(セキュリティ診断)はお任せください
弊社が提供する「セキュリティ診断サービス」は、高い技術レベルの専門家が擬似攻撃を仕掛けるなど、貴社webアプリケーションやプラットフォーム、スマートフォンアプリ、データベース、システムの脆弱性やセキュリティにおける問題点を、 さまざまな観点・手法から診断するサービスです。詳しくはセキュリティ診断サービスをご覧ください。
【参考文URL】:
http://www.ipa.go.jp/files/000035859.pdf,(参照 2017年7月26日)
http://gihyo.jp/dev/column/newyear/2016/owasp,(参照 2017年7月26日)
http://blog.asial.co.jp/1377,(参照 2017年7月26日)
https://www.securesky-tech.com/column/naruhodo/02.html,(参照 2017年7月26日)
http://www.checksite.jp/nikto-215/,(参照 2017年7月26日)
http://knowledge.sakura.ad.jp/tech/356/,(参照 2017年7月26日)
http://www.atmarkit.co.jp/aig/06network/nmap.html,(参照 2017年7月26日)
https://nmap.org/man/jp/index.html#man-description,(参照 2017年7月26日)
http://knowledge.sakura.ad.jp/tech/97/,(参照 2017年7月26日)