誤検知が少ないのは? 「脆弱性診断ツール」5選:現場を疲弊させる罠を防ぐ
ツールを入れれば安心という幻想が情シスの工数を奪い、予算を溶かしている。脆弱性診断ツールの実力と導入後に陥りがちな「重複コスト」や「スキル不足」という死角を解説する。
企業は脆弱(ぜいじゃく)性診断ツールを使用することで、システムの潜在的な弱点を特定し、攻撃される前に対策を講じられる。近年、脆弱性診断ツールが進化し、より高度な脆弱性対策ができるようになっている。自社に最適なものとは何か。5つの主要な脆弱性診断ツールを簡潔に紹介する。
主要ツールの特性比較と選定の「落とし穴」
併せて読みたいお薦め記事
主な脆弱性診断ツール
1.Burp Suite
「Burp Suite」は、WebサイトやWebアプリケーションの脆弱性診断を専門とするベンダーPortSwiggerの脆弱性診断ツールだ。潜在的な脆弱性を特定するための、静的および動的テストを実行できる。WebサイトやWebアプリケーションに対して、頻繁かつ定期的にテストを実行する仕組みを持つ。
Burp Suiteには無償版の「Burp Suite Community Edition」や、有償版の「Burp Suite Professional」がある。Burp Suite Professionalは脆弱性診断にAI(人工知能)技術を取り入れている。
2.Intruder
クラウドサービスの脆弱性診断ツール「Intruder」は、脆弱性管理ベンダーIntruder Systemsが提供している。Intruderがスキャンする対象は、オンプレミスのネットワークやサーバに加え、クラウドサービスやWebサイトを含む。パッチ(修正プログラム)未適用のソフトウェアや設定ミスの発見に利用できる。Intruderにはフル機能版の「Pro」や機能限定版の「Essential」などがある。
3.Nessus
「Nessus」は、1998年にルノー・ディレーソン氏が開発した脆弱性診断ツールだ。ディレーソン氏は後にセキュリティベンダーTenable Network Security(Tenable)を設立。同社がNessusの保守を引き継いだ。
TenableはNessusの無償版として「Nessus Essentials」を提供している。有償版の「Nessus Professional」「Nessus Expert」は、クラウドサービスやIoT(モノのインターネット)デバイスなど、さまざまな機器で稼働するソフトウェアのバージョンを特定したり、脆弱または不正な設定を発見したりするのに役立つ。
4.OpenVAS
「OpenVAS」(Open Vulnerability Assessment Scanner)は、脆弱性管理サービスベンダーGreenbone Networksと、研究者や開発者のコミュニティーが主導するオープンソースの脆弱性診断ツールだ。2006年、オープンソースだったNessusのソースコードをベースにOpenVASプロジェクトが開始され、2008年からは新たに設立されたGreenbone Networksがその開発を主導するようになった。
OpenVASは、機器で稼働するソフトウェア内の脆弱性を特定するために、Nessusと同様の診断機能に加え、独自の機能を提供する。
5.Snykシリーズ
セキュリティベンダーSnykは、ソフトウェア開発やサプライチェーンに存在する脆弱性への対策として、以下の脆弱性診断ツールを提供する。
- 脆弱なソフトウェアの依存関係を探す「Snyk Open Source」
- 開発中のソフトウェアのソースコード内にある脆弱性を検出する「Snyk Code」
- WebアプリケーションとAPI(アプリケーションプログラミングインタフェース)の脆弱性をチェックする「Snyk API & Web(DAST)」
Snyk CodeとSnyk API & Web(DAST)は、脆弱性検出の精度を向上させるためにAI技術を使用している。
ここで紹介した脆弱性診断ツールはそれぞれ独自の特徴を持つが、機能が重複する場合もある。複数の脆弱性診断ツールを導入して一部、機能の重複は問題ではなく、脆弱性を見つけやすくするため、むしろ望ましいと考えられる。ただし、脆弱性診断ツールの利用には結果のレビュー、誤検出の排除、ユーザーのトレーニング、ライセンス料などのコストが伴うため、完全に同じことをする脆弱性診断ツールを導入しないように注意が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.