企業内には多くのサーバがあり、ネットワークに接続している。社外に向けたWebサイトも当然保有しているだろう。しかし、それらの安全性をチェックした企業は、どれくらいあるのだろうか?

ただ、多くの企業は独自にある程度のセキュリティチェックは行っているはずだ。外部に開発や構築を委託していれば、当然、納品時にセキュリティについても確認しているだろう。もし、それすらしていないというならば、恐らく、そのネットワークやWebサイトには大きなセキュリティホールが存在する。

NTTアドバンステクノロジ ネットワークソリューション事業本部 応用NIビジネスユニット シニアセキュリティスペシャリスト 浅田享氏

「ネットワークやWebサイトを稼働させるにあたっては、セキュリティ専門家のチェックを強くお勧めします。もし、今まで一度もチェックを受けたことがないという状態であれば、多くの場合セキュリティホールが存在すると考えられます。ファイアウォールなどセキュリティ製品の機器であれば、ごく稀にセキュリティホールがないということもありますが、たいていは何らかの問題を抱えています」と警鐘を鳴らすのは、セキュリティ診断サービスを提供するNTTアドバンステクノロジのシニアセキュリティスペシャリストである浅田享氏だ。

市販ツール任せにせず独自ツールや専門技術者の手作業で高レベルな診断を実施

NTTアドバンステクノロジでは、企業ITシステムのセキュリティを診断・監視・コンサルティングなどトータルにサポートする『NetProtect(ネットプロテクト)』というサービスを提供している。診断サービスには、ネットワーク機器や各種サーバを対象とした【IPネットワークセキュリティ診断】と、Webサイトを対象とした【Webセキュリティ診断】という2つがある。

「セキュリティ診断には、専門の企業の手作業による診断、同じく市販ツールを使った診断、あるいはお客様ご自身で購入したツールによる診断、の3つの方法があります」と浅田氏。

セキュリティ診断ツールの多くは、よく利用される製品の簡単な設定誤りは適切に調査を行うが、それぞれのツールには癖があるという。セキュリティホールではないものに警告を出したり、特定の状況下では診断の対象とすべき箇所を見逃すといった具合だ。

「現在はシステムが非常に複雑化しているため、問題の発見が難しいのです。特定バージョンの製品を組み合わせた場合にだけセキュリティホールがあったり、内部の設定次第で弱点が作られてしまうこともあります。しかし、これらをツールだけで発見するのは容易ではありません。得られた診断結果をきちんと整理しなければ、無駄な情報だけが多くなり、有用なものは得られないのです。『NetProtect』は市販のツールだけでなく、独自にツールを開発し、熟練エンジニアのノウハウを組み合わせたサービスとして提供しています」(浅田氏)

セキュリティ診断イメージ

対策後の確認チェックも提供

『NetProtect』では、お客様の環境はもちろん、予算に合わせた診断も行います。いわば、オーダーメイド診断です。そして、ツールによる診断結果から本当に必要な情報だけを抽出し、わかりやすい形に整理します。また、問題点を指摘するだけではなく、対策を実行しやすい実用的な報告書を提供して報告会でしっかりとアドバイスし、お客様側で対策が済んだ後も、確認のため再診断を行い、対策が完了するまでサポートします」(浅田氏)

セキュリティ診断報告書の例(イメージ)

具体的な作業は、実際の診断に1週間程度、その後のレポート作成に1~2週間程度かかる。そして、一般的なケースではトータル1カ月ほどで一連の診断は終了し、関係者を集めた報告会を開く。

「ただ、危険度の高い問題が検知された時には、速報で簡易レポートをお送りして、緊急対応を行ってもらうことにしています。また、標準では報告会を作業開始から1カ月以内で実施するのですが、サービスインの時期が迫っているなどの事情で急ぎの場合にも、柔軟に対応します」と浅田氏は語った。

IPセキュリティ診断サービスの流れ

手作業による診断も

【IPネットワークセキュリティ診断】では、NTTアドバンステクノロジ独自ツールや手作業による診断を行う「Advanced診断(詳細診断)」と、市販ツールを活用した「市販ツール診断(基本診断)」が用意されている。

Advanced診断は、市販ツールによる診断に加え、独自ツールやスクリプト、ネットワーク系コマンドなどの手作業を組み合わせた診断だ。ツールで疑わしい点が出た場合、さらに手作業で深堀りしていくスタイルだ。そのため、広範な脆弱性を検知でき、最新の情報に基づくチェックが行われる。利用企業のほとんどはAdvanced診断を選択するという。

「Advanced診断では、市販ツールを1つの情報取得ツールとして利用します。検出結果は参考情報程度に活用し、本来の独自ツールや手作業でさらにしっかりと診断を行い、誤検出などはしっかりとはじいて、確実性の高い診断結果を提供します。誤検出のまま対策を行うと、コストをかけたのに最終的にその必要はなかった、というようなムダが発生しますから、この過程は重要です」と浅田氏は語る。

セキュリティレベル

技術者が攻撃をしかけて安全性を追求する「Webセキュリティ診断」

一方、【Webセキュリティ診断】では市販ツールを利用していない。これは、サービス開始当時、信頼に値する市販ツールがなかったためだという。

【Webセキュリティ診断】では、技術者が独自ツールを利用し、擬似的に攻撃を仕掛けて診断を行います。技術力は高く、手厚いサポートや詳しくて分かりやすい報告書でありながら低価格なサービスだと自負しています」と浅田氏。

サービスは「スタンダードプラン」と「プレミアムプラン」の2段階に分れており、「スタンダードプラン」は最新の主要な攻撃パターンを中心に診断するもので、まずは簡単にチェックしてみたいという初めての診断などにも使いやすいプランだ。一方、「プレミアムプラン」は徹底した診断を行う上位プランとなっている。

検査項目 検査の主なポイント
Webアプリケーションへの入力値検査 フォームにあらゆる値を入力して反応をチェック
セッション管理検査 複雑なセッション管理が的確に行われているかをチェック
強制ブラウジング検査 非公開エリアのファイルなどが不用意に外から見えてしまうことがないかをチェック
アクセス権回避検査 パスワード認証などを行わず不正アクセスされないことをチェック
パラメータ改竄検査 Cookieなどの値を手動で書き換えることで他人のデータなどが見られてしまわないことをチェック
Webサイト構成分析検査 不正な迂回アクセスやディレクトリのファイル一覧などが表示されないかをチェック

プレミアムプランの検査項目

「Webサイトのセキュリティは利用しているサーバのOSやバージョン、各種ツールのバージョンなどで対応状況が違っているため、このコードを書かなければ安全というようなものではありません。本来ならば単純にエラー表示になるはずが、サーバの設定情報などが丸見えになってしまうというようなものもあります。独自ツールや手作業で実際にあらゆる攻撃を行い、そうした問題を見つけ出すのです」と浅田氏は語る。

自社のシステムに多少でも不安を抱えているのであれば、一度、セキュリティ診断を検討したほうがいいだろう。

次回の後半では、企業のシステムには一般的にどのような脆弱性があるのか、具体的に紹介していく。

セキュリティ診断を受けていないシステムには大抵穴がある!(後編)