脆弱性診断【vulnerability assessment】セキュリティ診断

概要

脆弱性診断（vulnerability assessment）とは、稼働中の情報システムに保安上の弱点(セキュリティ脆弱性)が存在しないか調査すること。発見された脆弱性は危険性や緊急性などの評価を行った上で列挙し、対策に活用する。

コンピューシステムやネットワークを構成する機器やソフトウェアに潜在する、外部からのサイバー攻撃やマルウェア感染などに悪用できる保安上の欠陥を「脆弱性」（vulnerability）という。プログラムなどの誤り（バグ）だけでなく、望ましくない構成や設定なども含まれる。

脆弱性診断では、システムを構成するオペレーティングシステム（OS）やサーバソフトウェア、ミドルウェア、ライブラリ、ネットワーク上の通信機器などを洗い出し、それぞれのバージョンや設定、構成などを確認し、攻撃に利用できる脆弱性が含まれていないかを確かめる。

発見された脆弱性は、種類や利用可能な攻撃手法の詳細、危険性、緊急性などをCVSS（共通脆弱性評価システム）などの評価基準を参考にリスト化し、システム管理者に提供する。管理者はこれに基づいて対策計画を立て、ソフトウェアを最新版に更新したり設定を見直すなどして脆弱性を一つずつ潰していく。

よく似たシステムのセキュリティ評価手法に「ペネトレーションテスト」（penetration test/侵入テスト）があるが、これは攻撃者の立場で模擬的にシステムへの侵入や機密データの奪取といったサイバー攻撃を実践してみて、どのような攻撃が可能か検証する。脆弱性診断はツールなどを用いてシステムの構成要素を網羅的に調査するが、実際に侵入を試みるといった方法は用いない。

(2023.9.15更新)