脆弱性診断とは?
サイバーセキュリティの脆弱性診断は、システムの人間ドックです。
人で言う定期健康診断が、システムで言う脆弱性診断にあたります。
健康診断では、最初から特定した精密検査を行うことはありません。同様に、システム全体での脆弱性を発見するために、まずは脆弱性診断を行います。
例えば、「UTMを導入したからセキュリティは完璧」という考え方は、健康診断において「胃カメラだけを受けた」と同じです。胃カメラだけの診断では、健康全般を把握することはできませんし、同様にUTMだけの導入では、システムの脆弱性を見逃してしまう可能性があります。
脆弱性診断を実施することで、システムの弱点を特定し、優先度の高い対策から実施していくことがサイバー攻撃への防御対策です。
また、定期的な脆弱性診断を行うことで、ゼロデイ攻撃にも対応できる、健全なシステムを維持することが可能です。
急増するサイバー攻撃
昨今、特に公共施設(住基ネット、県庁、市町村、学校、病院など)への攻撃が急増しています。最初にネットワーク機器の運用保守契約がなされていないため「端末ハイジャック(乗っ取り)」が発生し、最後には「ランサムウェア攻撃(攻撃者により重要データが暗号化されてしまう)」として初めて表面化します。しかし、このような被害の大半は『既に広く知られた脆弱性の放置』が原因なのです。
我が国におけるサイバーセキュリティの現状
【出典】サイバーセキュリティ上の脅威の増加(総務省 通信白書2022)
日本のある市町村では個人情報流出した結果、訴訟裁判で約33億円の支払い事例もあります!
国内で発生したサイバー攻撃事例はこちらをクリック
市町村・県 編
発生日時 | 被害者 | インシデント概要 |
---|---|---|
2022年1月 | 北海道千歳市:公共 | 標的型サーバ攻撃・メールサーバの乗っ取りにより、81,084件の不審メールを発信したほか、メルマガ購読者の個人情報198件が流出。 |
2022年12月 | 全国一般市民 | 自治体などに提供している電子申請サービスに付随するヘルプデスク業務で、受託会社作業者端末がEmotet(エモテット)に感染、全国使用者とのメールやり取り2,312件が流出した。 |
2015年8月 | 長野県上田市:公共 | 標的型サーバー攻撃:マイナンバーカードDBの流出。 |
文教・学校 編
発生日時 | 被害者 | インシデント概要 |
---|---|---|
2022年3月 | 静岡県浜松市:中学と高校 | 過去5年分以上の生徒の成績データなどが流出し、暗号化された。 |
2022年10月 | つくば市教育委員会 | つくば市の小学校&中学校の学校用WEBサイトが乗っ取られ、更新に必要なIDやパスワードが書き換えられた。これにより、つくば市配下の45校のホームページが使えなくなり、ワーム等の不正プログラムの常駐も確認された。(ただし、原因等は未公開と予測される。HP上、見つけられなかった) |
2022年3月 | 千葉県南房総市 小中学校群 | VPNルータが乗っ取られての、ランサムウェア被害。 小学生1293人、中学生724人の個人情報(住所、氏名、保護者連絡先、成績、出席情報など)流出した後、暗号化された。 |
病院 編
発生日時 | 被害者 | インシデント概要 |
---|---|---|
2022年3月 | 金沢の病院 | ランサムウェア被害で、診察システムが2か月間に渡りダウン。システム復旧に2か月間が必要と成り、紙で対応。ただし、医療費はシステム復旧後での請求処理となった。 |
2022年3月 | 徳島県の病院 | VPNルータが乗っ取られ、ランサムウェア被害。3か月間の紙カルテでの対応を余儀なくされた。ブラックハッカー集団「LockBit」の声明と病院側の報告の食い違いも、注目を浴びてしまった。(LockBitがお金を取れなかった腹いせ論との見方が多いが) |
日本では、一般企業でサイバーアタックが発生した場合でも、多くの場合は海外のように役員の引責辞任にまでは至っていないケースが殆どです。但し、公共施設、特に公のサービス停止となるとメディアでの謝罪も必須となり、一線を介する対応が必要となっています。併せて陳謝する担当者も、被害者・損害額が多い場合、裁判が事例も出てきており、引責辞任するケースも出てきています。
脆弱性診断から得られること
インターネット上に放置され、忘れ去られた重大な情報端末を検知します。
どんなに堅固で優秀なシステムでも、管理者の見えないところで機密情報が漏れていては意味がありません!
パッシブスキャンにより「野良IoT」の存在を検出します。「野良IoT」とは、ネット上に放置され、重大リスクを引き起こす端末の総称です。
※他社・無料脆弱性診断では、CVEのみ、野良端末の発見機能がなかったり、非常に診断範囲が狭い場合が多いので、留意してください
※イージスEWは、プラットホーム脆弱診断ツールです。アプリのセキュアコーディング、および他セキュリティツールとの差分は、こちらを参照してください。
“こちら”→
まず、何から着手したらよいでしょうか?
サイバーセキュリティ『脆弱性診断』を正しく、順序よく行うためには
先ず、自分の資産(ホームページ、顧客へのサービス、IT資産等)をすべて洗い出して把握することが重要です。
できることから、速やかに着手しましょう!!