本当に攻撃されたら何するの?――クラウド環境での脆弱性検査とサイバー攻撃の検知・確認に関する基礎知識親子の会話から学ぶクラウドセキュリティ(5)

親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境での脆弱性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識について。

» 2020年11月12日 05時00分 公開
[青山桃子株式会社日立ソリューションズ]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する本連載「親子の会話から学ぶクラウドセキュリティ」。初回は、クラウドを始める前に覚えておきたいセキュリティの基礎知識、第2回はネットワーク関連セキュリティ、第3回はセキュリティの運用・監視、第4回は管理アクセスに関する内容について解説しました。

 今回は、クラウド環境での脆弱(ぜいじゃく)性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識についてです。

脆弱性検査って何?

機能のテストも終わったし、もうリリースできるね。


あと少しね。脆弱性検査もしましょうね。


脆弱性検査って何?


システムにセキュリティ上の欠陥がないかどうかテストすることよ。インターネットに公開しているサーバやアプリケーションが脆弱性のあるバージョンだったり、WebサイトがSQLインジェクションのような脆弱性を持っていたりしないかどうか、ちゃんとテストしましょうね。


 脆弱性検査とは、Webアプリケーションやネットワーク機器、OS、ミドルウェアなどにセキュリティ上の欠陥(脆弱性)がないかどうか評価することです。システムに脆弱性があると、サイバー攻撃による不正アクセスや情報漏えい、サービス停止などの被害に遭うリスクが高まります。検査方法には、ツールによる検査と、専門の技術者による手動検査があります。

 インターネットにサービスを公開する場合、少なくともツールによって検査しておくことをお勧めします。ツールによる検査で検出されるような基本的な脆弱性について対策できていないと、被害に遭う可能性が高いことはもちろん、信頼の失墜にもつながります。

 特に機密にすべき情報を扱うようなサービスでは、業界のセキュリティ基準として脆弱性検査の実施が求められている場合もあります。例えば、クレジットカード情報を扱うようなサービスでは、「PCI DSS(Payment Card Industry Data Security Standard)」というセキュリティ基準の要件に、脆弱性検査の実施が含まれています。

 脆弱性検査ツールには、ネットワーク型とホスト型といった検査方法の違いもあります。ネットワーク型の検査の場合、攻撃者の立場からスキャンし、顕在化している脆弱性の有無を確認できます。疑似的な攻撃を送りつけ、挙動を確認することで検査します。ホスト型の検査の場合、対象の機器にログインして、動作しているOSやソフトウェアの情報を取得し、脆弱性の有無を確認します。セキュリティパッチの適用状況や設定を見て評価することで、ネットワーク型とは異なる観点で脆弱性を検出できます。

ネットワーク型とホスト型(アイコン:AWS)

 クラウド環境におけるネットワーク型の脆弱性検査の場合、インターネット経由で検査することになると思います。攻撃を模した通信が、クラウドサービスに対して送られることになるので、状況によってはクラウドベンダーに事前に許可を取る必要があります。

 Amazon Web Services(AWS)では、脆弱性検査の実施に関する規定があり、この範囲内での実施については事前に許可を取る必要はないとされています。

 脆弱性診断は、各種テストが完了した後、リリース前に実施することが一般的ですが、新しい脆弱性が次々と公開されるので、リリース後も定期的に実施することが求められます。

どのツールを使えばいいのかな?

脆弱性検査はどうやってするの?


脆弱性検査ツールを使ってみましょうか。Webアプリケーション向けと、プラットフォーム向けの検査、両方やってみましょうね。


分かったよ。でも、どのツールを使えばいいのかな?


ツールにも特徴があるから、自分に合ったものを選びましょうね。有料のツールや、実施をお任せできるサービスもあるわよ。


 脆弱性検査ツールを選定する際は、まず検査対象を決めましょう。サーバのOSやミドルウェアを対象としたプラットフォーム向けのツールや、Webアプリケーション特有の脆弱性を検出できるWebアプリケーション向けのツールなど、検査対象により使用すべきツールが変わってきます。

 下の表はオープンソースソフトウェア(OSS)など無料で利用できる脆弱性スキャナーの例です。

脆弱性スキャナーの例
ツール 対象 備考
OpenVAS プラットフォーム OSSの脆弱性スキャナー。商用ツールであるNessusから派生したもの
Nessus Essentials プラットフォーム 商用ツールであるNessusの制限版。16個までのIPアドレスのスキャンが可能
Vuls プラットフォーム LinuxやFreeBSD向けのホスト型脆弱性スキャナー。IPAから日本語のドキュメントが公開されている
OWASP ZAP Webアプリケーション OWASP(The Open Web Application Security Project)が提供する弱性スキャナー
Nikto Webアプリケーション Webサーバに関する設定チェックやphpMyAdmin、WordPressなどのよく利用されるWebアプリケーションに対するチェックを行う

 AWSでは、プラットフォーム向けの脆弱性検査サービスとして、「Amazon Inspector」が利用できます。また、サードパーティーが提供する脆弱性検査のサービスも利用できます。その場合、クラウドとオンプレミスで大きな違いはありませんが、クラウド特有の問題に対応しているかどうか、クラウド向けの検査を得意としているかどうかはサービスによって異なるので、外注する場合は確認しておくといいでしょう。

 脆弱性検査ツールを実行すると、システムに不具合が生じるなどの影響がある場合もあります。脆弱性検査ツールを使う前に、バックアップやスナップショットを取り、元に戻せるようにしておきましょう。また、本番同等の検証環境を用意し、検証環境で検査すれば、本番環境へ影響を与えず実施できます。

見つけた脆弱性はどうすればいいの?

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。