会社の健康診断してる？｢うちは狙われるような情報はない｣が命取り､“プロの侵入成功率は9割以上”ランサムウェアに泣く前に脆弱性診断を

「人間で言うと、ビタミン不足にならないようにサプリを飲んでいる、適度に運動もしている、だから医者にかからなくていいのでしょうか？ それでも皆さん人間ドックを受けていると思います。健康に気をつけて生活していても、医師の診断を受けることで初めて見つかる病気があるように、自社で万全を期しているつもりのセキュリティ対策にも、どこかで見逃しや思い込みによる『穴』が生まれてしまう可能性があるのです。そして、攻撃者はそのたった一つのわずかな穴を決して見逃しません」と阿部氏。

プロによる脆弱性診断で病床を見つける

プロの目による「会社の健康診断」、その第一歩となるのが「脆弱性診断」サービスです。これは、専門家が攻撃者と同じ視点に立ち、ウェブサイトに潜むプログラム上の問題点、すなわち脆弱性を探し出してくれるのです。

プロの診断はツールと人手を組み合わせた「ハイブリッド型」が主流です。ツールは、膨大なパターンの攻撃通信を送り込むといった網羅的なチェックを得意としますが、それだけでは発見できない脆弱性が存在します。

例えば、ログインしたユーザーごとに表示されるべき情報が、別のユーザーからも見えてしまうといった「セッション管理の不備」です。これは、Aさんとしてリクエストを送ったのにBさんの購入履歴が見えてしまうといった深刻な問題につながりかねませんが、ツールでは「正常な応答が返ってきた」と判断してしまう可能性があるのです。

「こうした、システムの仕様や文脈に依存する論理的な欠陥を見つけ出すには、専門知識を持った診断員が職人気質で頑張って深掘りしていくしかありません」（渡辺氏）

診断によって発見された脆弱性は、いわば身体に見つかった「病巣」です。プログラムを修正して脆弱性そのものを取り除くのが根本的な治療となりますが、修正には時間やコストがかかり、すぐに対応できない場合も少なくありません。その際の有効な応急処置となるのが、「WAF（Web Application Firewall）」の導入です。

「一般的なファイアウォールは届いた封筒の宛先を見て遮断しますが、WAFは封筒の中身をチェックして問題があるかどうかを判断します。つまりアプリケーションに送られるデータそのものを検査し、攻撃特有のパターンを検知して遮断するのです。脆弱性が残ったままでも、WAFという盾をウェブサイトの前に置くことで、攻撃を未然に防ぐことができます」（渡辺氏）

WAFサービスを自社で導入・運用するには数百万から数千万円の投資が必要というのが課題だったが、サイバーセキュリティクラウドではWAFをSaaSとして提供することで、月額1万円からという低価格で導入できるという。

脆弱性診断が、いわばレントゲンやCTスキャンで個々の病巣を見つける精密検査だとすれば、そこからさらに一歩踏み込み、身体全体の抵抗力や弱点を試す診断が「ペネトレーションテスト（侵入テスト）」です。

倫理観を持った専門家である通称「ホワイトハッカー」が、実際のサイバー攻撃者と同じ思考、同じ手法を用いて、対象のシステムへの侵入を試みる、実践的なテストです。期間や対象範囲といったルールを除けば、その手口は本物の攻撃と何ら変わりません。

多くの企業は、自社のセキュリティ対策にそれなりの投資を行い、自信を持っているかもしれません。しかし、その自信は、プロのペネトレーションテストの前ではもろくも崩れ去る可能性があります。

「当社のペネトレーションテストの侵入成功率は9割以上です。お客様もいろいろなセキュリティ対策はしているのですが、回避テクニックもいくらでもあるのです」（阿部氏）

対策を講じているはずの企業が、これほどまでに侵入を許してしまうのは、サイバーセキュリティにおける攻撃者と防御者の非対称性に起因します。

防御側は、自社が持つすべてのサーバーやPC、ネットワーク機器、アプリケーションのすべての穴を完璧に塞ぎ続けなければなりません。一方で攻撃側は、その広大な防御網の中からたった1つの穴（脆弱性）を見つけ出すだけで目的を達成できてしまうのです。この現実が、9割以上という高い侵入率につながっているのです。