【製品動向】iOS／Android対応が進む「脆弱性診断サービス」：LAN診断の負荷を軽減するサービスも

システムに潜む脆弱性を早期に発見したい。ただし、必要なシステムを自社で用意するのは難しい。そうした企業に最適な「脆弱性診断サービス」の現状や最新動向を示す。

[鳥越武史，TechTargetジャパン]

　「脆弱性診断に対するユーザー企業からの引き合いが、2010年度から2011年度で10倍近く増加した事業者もいる」――。IDC Japanのリサーチマネージャーである川上晶子氏はこう話す（参考：最新トレンドが分かる！　マネージドセキュリティサービス）。Webアプリケーションなどの脆弱性を突いたサイバー攻撃が相次ぐ今、自社のシステムに潜む脆弱性を可能な限り早期に可視化することが大切だ。

　脆弱性の実態をいち早く可視化したいが、診断に必要なシステム構築に手間は掛けられないし、専門的なノウハウも持ち合わせていない。そうした企業にとって、セキュリティ事業者や通信事業者などが提供する「脆弱性診断サービス」が有力な選択肢となる。スマートフォンやタブレットといったスマートデバイスの普及を受け、脆弱性診断サービスのメニューにも変化が生じつつある。本稿は、脆弱性診断サービスの現状と最新動向を示す。

関連記事

• 【導入効果】社内データを流出や破壊から守る「脆弱性対策」
• 狙われるAdobe製品とJavaの脆弱性
• IPv6を危険にさらす、アドレス生成方法に潜む6つの脆弱性
• サイバー攻撃の脅威に備える。脆弱性診断スタートガイド（ホワイトペーパー）

脆弱性診断サービスの現状

　Webアプリケ―ションやサーバ、ネットワーク機器に潜む脆弱性の診断をベンダーに委託できる脆弱性診断サービス。最新動向を紹介する前に、現状の脆弱性診断サービスの内容を整理しておこう。

診断対象：Webアプリケーションやミドルウェア、OSなどを診断

　脆弱性診断サービスの主な診断対象は、PHPやPerlといったプログラム言語で開発されたWebアプリケーション、Apache HTTP ServerやMySQLといったミドルウェア、Windows ServerやLinuxなどのOSと、そこで稼働するサービスなどである。こうした診断対象に対して、ソースコード解析をしたり、システムに疑似攻撃を仕掛けるなどして脆弱性を診断する。

　Adobe ReaderやMicrosoft Officeといったクライアントアプリケーションを悪用するサイバー攻撃も多い（参考：狙われるAdobe製品とJavaの脆弱性）。ただし、脆弱性診断サービスは、こうしたクライアントアプリケーションを診断対象としていないことが多い。

関連記事

• Webブラウザの脆弱性悪用攻撃を防ぐには？
• 「費用対効果見えにくい」Webアプリケーション脆弱性診断、その有用性は？

診断手法：ツールを利用し、リモートまたはオンサイトで診断

　可能な限り診断期間を短縮するため、市販または独自の脆弱性診断ツールを利用するサービスがほとんどだ。ベンダー各社が利用する主な市販の脆弱性診断ツールには、日本ヒューレット・パッカードの「HP WebInspect software」や日本アイ・ビー・エムの「IBM Security AppScan」、米eEyeの「Retina Network Security Scanner」などがある。

関連記事

• 無料で使える、Windows向けパスワード解析／脆弱性スキャンツール9選
• 無料で使える、無線LANやSQL Serverなど向け脆弱性対策ツール11選
• Microsoftの脆弱性スキャナ「MBSA」の限界

　脆弱性診断サービスは、脆弱性診断を実行する場所に応じて2つのタイプがある。ベンダーが自社センターに用意した脆弱性診断ツールを使い、インターネット経由で診断を実施する「リモート診断」と、ベンダーがユーザー企業のLANやDMZ（非武装セグメント）に脆弱性診断ツールを導入して診断する「オンサイト診断」だ。