top of page

Vol.05 新卒エンジニアのための脆弱性診断入門

  • 山崎 友弘
  • 3月5日
  • 読了時間: 12分

更新日:4月14日


パソコンを使用する企業に就職すると、「使用するパソコンの脆弱性の対策はしっかりと行なっ

て下さい」と研修などで突然言われます。


周りを見てもみんな知っているような顔をしており、「脆弱性の対策って何をするの?」と頭に

浮かんでも、聞くに聞けない状態になる新卒社員の方が案外多くいらっしゃいます。

この状態で知ったふりをしていると、後々上長から怒られてしまう事態に発展します。

そうならないように、脆弱性対策に必要な「脆弱性診断」の入門を今回はご紹介していきます。




脆弱性とは


そもそも「脆弱性」という言葉はネットなどで目にしたことはあるが、意味をしっかりと理解

できていない方が多いです。

「もろい」と「よわい」が組み合わさった「脆弱」という言葉ですので、脆くて弱いことを示

しています。


その中でも、今回ご紹介していく脆弱性はハードウェアやソフトウェアについて、特にセキュ

リティに対する脆くて弱い部分についてです。



狙われる脆弱性

セキュリティにおけるシステムの脆弱性とは、ウイルスなどからシステムを守ろうとした際、

脆くて弱い部分なので狙われやすい部分ということです。

第三者である攻撃者が、がある特定のコマンドを入力したりウイルスをパソコンに入れること

によって、パソコンを乗っ取られたり壊されたりすることがあります。

この攻撃者が狙うのが、システムにおける脆くて弱い部分、つまり脆弱性なのです。

ゲームなどで裏技と称してバグを利用したプレイがありますが、そのバグを利用してゲームを

簡単に進めるのではなく、パソコンの場合は侵入したり壊したりしてくるのが攻撃者というわけ

です。



ハードウェア・ソフトウェアに潜む脆弱性

発売時には脆弱性がないようにチェックした後に世間へ公開している製品ですが、見落としや

セキュリティを突破するためのウイルスなどの出現のため、どの製品にも脆弱性が出てきてしま

います。

特にセキュリティを突破するためのウイルスは厄介で、ウイルス自体が進化していくのでいく

ら対策を行ってもまた新しいウイルスが出てきてしまうということが現状です。


また、これらのウイルスはダークウェブ等で公開されているプログラムなので、攻撃者がこぞ

って開発を進めていることからウイルスの進化も止まりません。

そのため、今日脆弱性対策を行った端末であっても、明日にはまた脆弱性が出てしまっている

、なんて話もよくあるというわけです。



脆弱性を放置すると起こること

脆弱性をそのままにしてしまうと、攻撃者から攻撃を受けるリスクが非常に高くなります。

城壁に例えると、周囲は固く高い壁で覆われているのに扉だけが木製の扉が設置されている状

態です。

攻撃者に端末が発見されるとひとたまりもありません。


また、近年は「ゼロデイ攻撃」という言葉もよく聞きます。

新種のウイルスが出た瞬間、世界中にばら撒かれるので脆弱性対策が間に合わないのです。

そのため、ネットワークを公共Wi-Fiを使用するなどの使用環境の脆弱性をそのままにしている

と、普段からソフトウェアの脆弱性対策を行っていても被害に遭う可能性は高まってしまいます



脆弱性対策

非常に危険な脆弱性ですが、これらを攻撃者である脅威から守るためにはどうすべきか。

ここには必要な対策を講じる必要があります。

ほとんどの企業ではISMSという情報セキュリティのための仕組みや枠組みを設けているので、

それに従うことが最も重要です。


これ以外にも、こまめなアップデートや危険な環境ではパソコンを使用しない等の脆弱性対策

により、多くの脅威から自信を守ることができます。

どのような対策を行うかは、どのような攻撃があるのかをある程度知っておくことによって見

えてくることも忘れてはいけません。




知っておきたいOWASP Top10



脆弱性対策を行う際、どのような脅威があるのかを知っておくことも必要になります。

ネットに出てくる最新の情報を得るのも効果的かもしれません、最も効果があり、是非とも知

っておいてほしい情報はOWASP Top 10です。

様々なセキュリティに関わる情報はネット上にたくさん出ていますが、まずはどんな情報も

OWASP Top 10を知ってから調べていくのが定石です。



OWASP Top 10とは

OWASP Top 10とは、「Open Web Application Security Project(国際ウェブセキュリティ標準

機構」、通称OWASP(オワスプ)が出している、攻撃手法や脆弱性などのリスクを世界中のデー

タを元にランキングしたものです。

つまり、OWASP Top 10を見ることで世界で多く起こっているセキュリティに関わる事案を把

握できるということです。


また、日本国内でのTop10は、IPA(情報処理推進機構)が発行する「情報セキュリティ10大脅

威」で知ることができます。



近年の傾向

最新のOWASP Top 10は2024年版が発表となっており、新たに注目されている点は「クレディ

ンシャルの不適切な使用」という項目と「不十分なサプライチェーンセキュリティ」です。

この2点が注目されるようになってきた背景には、「システムのクラウド化」と「工程の複雑さ

」があります。


クレディンシャルの不適切な使用とは

クレディンシャルというのは認証情報などの機密情報を意味します。

従来は自社にあるサーバールームに設置されたサーバーやネットワーク機器などに直接アクセ

スして操作していましたが、近年クラウド化が進んだことによってインターネットを介した操作

が必要になっています。

そのため、アクセスするための認証情報の取り扱いをおろそかにしてしまうことによって、第

三者に知られて攻撃を受けてしまうことが増加しています。


不十分なサプライチェーンセキュリティとは

サプライチェーンとは、アプリなどを作成していくのであれば計画からリリースまでの一連の流

れを意味します。

一つのアプリを作るにあたって、現在は様々な部署で作成したパーツを組み合わせることによ

って最終的なアプリを作成していきます。

パーツ作りには同じ会社ではなく下請けに開発を依頼することもあります。

そんな中でセキュリティの十分性が末端に伝わらず、結果として脆弱性を残したままリリース

してしまうことが近年増えています。



OWASP Top10で注目したいポイント

OWASP Top 10を見ることによって現在抱えているセキュリティリスクが見えてくることはも

ちろんですが、先ほどご紹介したように変化点を見ることも大切です。


近年普及している新しい技術と共に、新しい脅威も出現してきます。


新たな技術を採用することは必要なことですが、そこにどのような脅威が潜んでいるかを

OWASP Top 10を見ながら確認し、対策を行うようにしましょう。




セキュリティテストの基礎



脆弱性を発見する方法の一つとして、セキュリティテストの実施があげられます。

定期的にセキュリティテストを行うことは脅威からシステムを守るために必要な手法の一つと

なってきますので、定期的に実施することが重要です。



セキュリティテストとは

そもそもセキュリティテストを行うことにより、どのような効果があるのかを知りましょう。


システムやネットワークが脅威から守られているのかを見るのがセキュリティテストです。

セキュリティテストの目的は、セキュリティを強化することで攻撃からシステムを保護すると

いうことはもちろんですが、セキュリティテスト結果を公開することによって企業の評判向上に

もつながります。

そのため、安全にシステムを運用することと共に、世間に「セキュリティ対策は強固なもので

すよ」と示す意味も含んでいます。



セキュリティテストの実施方法

セキュリティテストの実施方法は、大きく分けると二つの方法があります。

それは、「手動診断」と「ツール診断」です。


手動診断については、知識のある人がセキュリティに対するレベルを確認したり、場合によっ

ては擬似的に攻撃をかけてセキュリティが働いているのかを確認していきます。


ツール診断については、セキュリティテストのツールを実行することにより、足りないセキュ

リティ対策はないのかを確認していきます。


手動診断は実施する人の知識が必要なことと時間もかかることから、手動診断を年に数回行い

つつ、頻繁にツール診断を実行していくという方法を行うことによりセキュリティレベルを常に

高く保つことも可能です。



セキュリティテストを行う注意点

セキュリティテストを行う前に必ず確認しておきたいことは、セキュリティレベルをどこに定

めるのかが最も重要です。

セキュリティを最も強固なものにするには、インターネットに接続せずに作業場所も閉鎖空間

で行うことです。


しかしこれでは業務上支障があるため、どのセキュリティレベルでシステムを運用していくか

を決める必要があります。

この設定が人によってぶれてしまうと、正しいセキュリティテストを行えなくなってしまうた

め、スタートの時点でしっかりとレベルを定め、テストを行う人全員が共通の意識を持つ必要が

あるのです。




脆弱性診断の基礎



攻撃者が狙っている脆弱性について、使用しているシステムに脆弱性がどの程度あるのかを診

断する脆弱性診断があります。

脆弱性診断は使用しているシステムの弱点を知るという意味があるので、非常に重要な診断と

なります。

システムを運用する者となる上では、基本的な部分を抑えることは必須です。



脆弱性診断とは

脆弱性診断とは、使用しているシステムに脆弱性がないかを確認する診断です。

攻撃者が狙う脆弱性があると、セキュリティリスクは非常に高くなります。

そこで、どんな脆弱性がシステムに潜んでいるのかを知らなければ対策を行うことは非常に難

しくなってしまいます。

今使用しているシステムの脆弱性を知り、それに関わる対策を行うことによって安全に運営す

ることが可能となりますので、重要な作業であることを覚えておきましょう。



セキュリティテストと脆弱性診断の違い

脆弱性診断と混同されがちなのが先ほどご紹介したセキュリティテストです。

混同される原因は、実施方法が非常に似ていることから起こります。

そこでこの2つの違いをしっかりと抑える必要がありますが、注目すべきは実施にあたっての目

的です。


セキュリティテストはセキュリティレベルを測ることを目的とし、脆弱性診断はどんな脆弱性

を含んでいるのかを目的とします。

先に城壁の例で例えましたが、同様に例えるとセキュリティテストで見るのは壁の高さや厚さ

、素材であり、脆弱性診断は穴がないかや老朽している部分がないかを見ていきます。

どちらかのみ選択するのではなく、どちらも実施することによってセキュリティを高い水準に

保つことができます。



脆弱性診断の実施方法

脆弱性診断もセキュリティテストと同様に、手動診断とツール診断があります。

行う内容は異なるものの、側から見ると脆弱性診断とセキュリティテストにあまり違いがない

ため、混同されてしまう原因にもなっています。

行う項目については、現在公表されている脆弱性がないのかをチェックします。


さらに、いくつかの攻撃方法を試してみて危険な脆弱性がないのかを確認します。

そのため、検知によるアラートが多くなるということを関係各所に伝えておくことも必要です



脆弱性診断を行う注意点

脆弱性診断を行う際には、まず社内で脆弱性診断が重要であることを全員が認知しておく必要

があります。

避難訓練のように、アラートが頻発してしまったり診断用に新たにアカウントを発行するなど

、業務に支障を及ぼしてしまう可能性があります。

ただし脆弱性診断を疎かにしてしまうと攻撃者が侵入してくるなどの大きなリスクを抱えるこ

ととなるため、自分の業務に支障が出る場合も協力することは忘れてはなりません。


また、脆弱性の対策を行うことも業務に支障が出ることがありますが、こちらもリスク軽減の

ために最優先で対応する必要があります。

もし対応できない何らかの理由がある場合には、専門部署と相談を行い理解を得る必要があり

ます。




企業内での脆弱性に対する規定確認



個人で使用するパソコンの脆弱性対策を行う際は気にする必要はありませんが、仕事で使用す

るパソコンでは注意する項目がいくつかあります。

主には社内のルールで定められておりますので、まずは確認しておくことで対策を行うことが

できます。



脆弱性対策に対する規定確認

脆弱性対策に対して、まずはどのような規定が定められているのかをしっかりと確認して下さ

い。

主にはISMSに定められており、「脆弱性が出た場合は早急に対策を行う」等の記述があります

ので、その場合は最優先にして対策を行う必要があります。


ただし、最新のバージョンにアップデートを行うと使用できなくなるアプリもあることからそ

の場合はどう対応すべきかなどを事前に確認しておくとスムーズに脆弱性対策を行うことが可能

となります。



アップデート方法の確認

アップデートと言えば、システムを起動した際に出てくる警告に沿って操作を行って行ったり

、公式ホームページから最新版のプログラムをダウンロードしてくる方法があります。

しかし、WindowsOSなどでは稀に致命的なバグが潜んでいることもありますので、リリースさ

れてから一旦検証端末でアップデートを試した後にWSUSサーバーから更新プログラムを配布し

ている企業が多いです。

そのため、自分が所属する企業ではどのようなアップデート方法を取っているかを確認してく

ださい。

また、アプリでも一旦検証する必要があることもあるため、相談してから作業を行うことが重

要になります。



意外と忘れがちな起動していない機器に対するアップデート

部署によっては予備の端末を持っていることが多くありますが、電源を入れていないため脆弱

性対策が行われないまま放置されていることがよくあります。

そのため、脆弱性を管理している部署から連絡が入り、アップデートを行うことが必要となり

ます。


作業を行うのは新入社員であることがほとんどのため、作業を任される心構えをしておくと良

いです。

作業を遅らせてしまうと上長が指導され、さらに上長から自分に指導が入るという流れになる

ため、自分の端末をアップデートした時の方法を覚えておき、スムーズに作業を行うことがポイ

ントとなります。




まとめ


脆弱性対策は安全にシステムを保護するためにとても重要な作業となります。

システムに対する攻撃を許してしまうと、個人の責任だけではなく企業の信用失墜や損害が発

生してしまいますので、軽く考えることはできません。

脆弱性診断はセキュリティ対策を行う上で基本の第一歩となりますので、最重要項目として作

業を行うことを把握しておきましょう。

​シリーズ

新卒エンジニア向けセキュリティ

新卒エンジニアの皆さんが押さえておくべきセキュリティの基礎を現場目線からわかりやすく解説しています。 ITセキュリティ分野について広く網羅しておりますのでこの記事さえ読んでもらえれば最低限エンジニアとしてのセキュリティの知識を得ることができるようになっています。 1. 社会人ITエンジニアとして最初に身につけるべきセキュリティの超基礎 2. 開発するなら知っておくべきセキュリティ設計の基本 3. 業務で使うツールのセキュリティリスクと対策 4. フリーWi-Fiは使っていいの?エンジニアが気をつけるべき通信の安全性 5. 新卒エンジニアのための脆弱性診断入門 6. ソースコード管理と情報漏えい対策 7. API開発時に気をつけるべきセキュリティの基本 8. ID・パスワードだけで大丈夫?認証・認可の基礎知識 9. Webアプリ開発者向け!SQLインジェクション・XSSの防ぎ方 10. もしもインシデントが発生したら?エンジニアのための緊急対応入門
新卒エンジニア向けセキュリティ

インフラセキュリティ

サーバーやネットワークを扱ううえで欠かせないインフラ領域のセキュリティ知識を、現場目線でわかりやすく解説するシリーズです。 サーバーやネットワークを中心としたインフラセキュリティ分野を広く網羅しており、本シリーズを通じて、エンジニアとしてインフラの安全を確保するために必要な基礎知識を、実践的な視点からしっかりと身につけることができます。 1. ゼロから始めるサーバーセキュリティの入門 2. 記事一本で押さえるネットワークセキュリティの基礎 3. まずはこれだけ!クラウドセキュリティの第一歩
インフラセキュリティ

ゼロトラスト時代のセキュリティ

このシリーズでは、「信頼しないことを前提とした設計思想」であるゼロトラストを軸に、実務で役立つ考え方や実装のポイントを、わかりやすく解説していきます。 単なる技術やツールの紹介ではなく、「なぜその考え方が重要なのか」「どんな視点を持つべきか」といった、本質的な部分に焦点を当てて解説します。このシリーズを通じて、これからの時代に求められるセキュリティ思考を身につけていきましょう。 1. 基本概念と設計思想 2. IDaaS導入とアイデンティティ管理 3. マイクロセグメンテーションの実装 4. エンドポイント保護の強化 5. ゼロトラストへの移行ロードマップ
ゼロトラスト時代のセキュリティ
bottom of page