無料診断
    お問い合わせ

    脆弱性診断 V.S. 脆弱性リスク管理

     2025.01.09  K.M.

    明けましておめでとうございます。CS事業部のK.M.です。

    皆様無事に新年を迎えることができましたでしょうか?

    2024年も多くのセキュリティインシデントが発生していました。
    特に昨今話題になっているランサムウェアなどの攻撃は、VPN機器などの脆弱性を突かれて侵入されてしまったケースがかなり多いのが現状で、社内にある脆弱性を把握/管理することの必要性が強化されています。
    そこで、自社の環境は大丈夫なのかを確認するべく、
    これから年度の締めに脆弱性診断をご検討しているご担当者様も多くいらっしゃるかと思います。

    また、診断では足りないので定常的に脆弱性管理をしていきたいとお考えの方もいらっしゃるかと思います。

    一方で、診断と管理、どちらにどのような違いがあるのかのイメージがしづらいのではないでしょうか。

    ということで、本稿では脆弱性診断と脆弱性リスク管理の違いについて紹介いたします。

    脆弱性診断(VA: Vulneralbility Assessment)

    • 特徴
      外部のサービス提供者に診断を実施してもらう、一度限りの診断
    • 実施頻度
      四半期、半年、一年に一度
    • コスト
      数十万~数百万(一回当たり)
    • メリット
      ・自ら機器に対して脆弱性の診断をする手間を省くことができる。
      ・結果をレポートしてもらえる。(サービスによってはアドバイザリも含む)
      ・容易に実施することが可能。
    • デメリット
      ・サービスによって得られる情報の粒度がまちまち
      ・診断を実施したときの情報なので、次回実施するまでは改善点や新たな発見ができない

    脆弱性リスク管理(VRM:Vulnerability Risk Management)

    • 特徴
      ツールを用いて自ら継続的に脆弱性を管理することが可能
    • 実施頻度
      毎日、毎週、毎月、(自らが定めた頻度)及びオンデマンド(任意のタイミングでの実施)
    • コスト
      ツールの費用+担当者の工数
    • メリット
      ・自分の好きなタイミングで実施することができる。
      ・年に複数回する場合はコストメリットあり。
      ・対象を絞る必要がない。
      ・環境の最新の情報/状態をチェックすることができる。
    • デメリット
      ・専門的な知識が必要
      ・自分たちで運用する必要がある/手間、人がかかる

    まとめ

    ここまでで簡単に診断と管理の違いを解説しましたが、どちらの方が優れているというわけでもありません。ご担当者様の要件に沿った方法でやるのが一番だと思います。

    ただ、自社環境にどれほどの脆弱性が存在しているのかは把握する必要はあるのでどちらかは最低限実施することを推奨します。

    最後に弊社が取り扱っている脆弱性関連のソリューションをご案内させてください。

    診断サービス
    プラットフォームからWebアプリケーションまで、様々な領域への診断サービスがあります。

    サービス一覧

    • プラットフォーム診断
    • OSS診断
    • クラウドセキュリティ設定診断サービス
    • Webアプリケーション診断
    • SPA診断
    • モバイルアプリケーション診断(Android/iOS)
    • ペネトレーションテスト

    脆弱性リスク管理ツール(オンプレ/クラウド)
    Rapid7社の脆弱性リスク管理ツール「InsightVM」(IVM)

    脆弱性スキャンを行うことにより、管理しているIT資産上で稼働しているOSやソフトウェアのバージョンから該当する脆弱性を検知、対策手順を提示します。
    また、リスクベースアプローチを採用しているため、発見された脆弱性の中でも特にリスクが高い脆弱性を把握し、修正することができます。

    また、オンプレのみならずAWSやAzureといったクラウドサービス用のInsightVMも提供されており、動的なクラウドインスタンスの脆弱性管理も可能です。

    強みの一つである改善プロジェクトの機能により、脆弱性が検出された後の対応の進捗の確認をすることができます。
    単に脆弱性を検出するだけでなく、そのあとの対応までをサポートします。

    Webアプリケーションテストツール

    Rapid7社の動的Webアプリケーションテスト(DAST)ツール「InsightAppSec」(IAS)

    クラウド型のDASTツールで、Webページをクローリングして認証やセッション管理の不備といった脆弱性を発見し、レポーティング、改善方法の提示などWebアプリケーションの脆弱性管理に関するさまざまな機能を提供します。

    最新のアプリケーションや、モダンアプリケーション(Ajax、REST/JSON、SPA等)に対応しています。

    その他に、アタックリプレイ機能を使用することで、再度フルスキャンを実施することなく修正確認が可能です。その為、再スキャン分の時間を節約することができます。また、パラメータの編集や複数の議事攻撃パターンの比較なども行うことができます。

    ペネトレーションテストツール

    Rapid7社のペネトレーションテストツール「Metasploit Pro」

    無償で提供されている「Metasploit Framework」で有名なツールの商用版です。
    従来CLIで操作していたものをGUI上で操作できるようにしたことで、操作性が向上したほか、エクスプロイトモジュールの評価をRapid7側で行っているため、経験がないご担当者様でも使いやすくなっています。

    ※ペネトレーションテストツールとは:脆弱性を突く攻撃を行い、実際にシステムに侵入できるかをテストするツールです。

    ここまでの長文をご覧いただきありがとうございました。
    少しでも脆弱性対策を検討するにあたりお役に立てていれば嬉しいです。

    この記事の詳細にご興味のある方は、以下のお問合せ先にご連絡ください。

    【お問い合わせ先】

    株式会社テリロジー クラウドセキュリティ事業部 
    Email:cloudsolution@terilogy.com
    TEL: 03-3237-3291
    窓口受付時間:平日9:00~17:30
    クラウドの無駄なコスト出費を減らすには?コスト最適化のベストプラクティス-効果的な手法と戦略について
    アタックサーフェス管理(ASM)の構成要素と新たなアプローチ

    RECENT POST「Rapid7」の最新記事

    Rapid7

    2025.01.09

    アタックサーフェス管理(ASM)の構成要素と新たなアプローチ
    Rapid7

    2024.11.05

    アタックサーフェス管理(ASM)の本来の目的を改めて考えてみた
    Rapid7

    2024.09.03

    侵入させないためのリスク管理を実施する有効な方法
    Rapid7

    2024.06.10

    脆弱性リスク管理のマネージドセキュリティサービス(MSS)の提供を開始
    脆弱性診断 V.S. 脆弱性リスク管理

    RECENT POST 最新記事

    アタックサーフェス管理(ASM)の構成要素と新たなアプローチ

    アタックサーフェス管理(ASM)の構成要素と新たなアプローチ
    クラウドの無駄なコスト出費を減らすには?コスト最適化のベストプラクティス-効果的な手法と戦略について

    クラウドの無駄なコスト出費を減らすには?コスト最適化のベストプラクティス-効果的な手法と戦略について
    Sumo logicの新機能Scan Budgetについて

    Sumo logicの新機能Scan Budgetについて
    SumoLogicのNext-Gen appってなにができるの?

    SumoLogicのNext-Gen appってなにができるの?
    アタックサーフェス管理(ASM)の本来の目的を改めて考えてみた

    アタックサーフェス管理(ASM)の本来の目的を改めて考えてみた

    RANKING人気記事ランキング

    ブログ無料購読のご案内

    TOPIC トピック一覧

    SEARCHブログ内検索