【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第1回脆弱性検査［前編］

（2005年05月23日）

脆弱性検査のタイプ

　脆弱性検査はネットワーク経由で行う「ネットワーク型検査」と、サーバやネットワーク機器に直接ログインして内部の設定を検査する「ホスト型検査」の2つに大別される。図3に脆弱性検査の具体例をネットワーク構成図を用いて示した。以下、それぞれの特徴を述べる。

①ネットワーク型検査
　ネットワーク型の検査には、外部ネットワーク（通常は社外ネットワーク）から行う場合と社内ネットワークから行う場合がある。どちらの検査も、ネットワーク上に存在する機器を列挙することと、機器が提供しているサービスの情報（アプリケーション名やバージョン）を調べることから始まる。それらの情報から、市販のOSやアプリケーションについては既知の脆弱性を洗い出せる。また、独自のアプリケーションについては、実際に侵入や妨害が可能かどうかを検証する。市販のOSやアプリケーションでも、脆弱性対策の有効性を確認したいという要望があれば、実際に攻撃や妨害を試すこともある。

●外部ネットワークからの検査
　いわゆるクラッカーによる不正アクセスや攻撃に対する脆弱性を調べる。
●内部ネットワークからの検査
　内部からの検査では、内部のエンドユーザーからの不正アクセスや攻撃などに対する脆弱性を発見することに主眼を置いて、アクセス制御の設定の妥当性を中心に調査する。
　内部からの情報漏洩や不正利用については、脆弱性検査の対象となる技術的な脆弱性への対策だけでは完全に防ぎきれないことを再認識しておく必要がある。言いかえれば、内部から発生するリスクに対しては、技術的な脆弱性への対策に加えて、物理的環境、セキュリティ・ポリシー、教育といった技術以外の要素を組み合わせてセキュリティ対策を行わなければ、効果は期待できない。

②ホスト型検査
　ホスト型検査では、内部ネットワークから各機器にログインして、主に以下のような情報を収集する。

●OSやアプリケーションにおけるセキュリティ修正パッチの適用状況
●OSやアプリケーションの設定情報
●ソフトウェアやシステム・ファイルへのアクセス権の設定状況

　これらの情報から、先に述べたネットワーク型検査よりも高い精度で既知の脆弱性を検出できる。また、ネットワークを経由しないで行われる不正利用に対する脆弱性の検査が可能である。

　なお、ホスト型検査ではネットワーク型検査よりも厳密な検査が行えるが、ネットワーク型に比べると手間と時間がかかるため、その分コストは高い。したがって、検査対象が多い場合は、重要なサーバや機器に絞って検査を行うケースが多い。