プラットフォーム診断とは？｜必要性や費用、メリット、デメリットを解説

プラットフォーム診断とは？

プラットフォーム診断とはネットワーク上にあるサーバー、ネットワーク機器のOSやミドルウェアなどを対象に、その構造や構成、通信結果などを分析することで既知脆弱性や設定の不備に起因するセキュリティ上の問題を特定する診断手法です。

プラットフォーム診断を定期的に実施することで、システムの脆弱性を早期に発見し、セキュリティを強化し、潜在的な攻撃やデータ漏洩を防止できます。

プラットフォーム診断の必要性

プラットフォーム診断において発見される代表的な脆弱性には、Heartbleed、Shellshockなど、OSやミドルウェアの脆弱性が含まれます。これらの脆弱性は、適切な対策が取られていない場合に悪用され、システムの機密情報の漏洩や不正アクセスを引き起こす可能性があります。そのため、定期的なプラットフォーム診断が不可欠です。

プラットフォームとペネトレーションテストの違い

プラットフォーム診断とペネトレーションテストはどちらもセキュリティを評価する手法ですが、目的は少し異なります。

プラットフォーム診断はネットワーク機器やOS、サーバ、ミドルウェアに対して既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを調査し、深刻度を評価する手法です。 一方で、ペネトレーションテストはそれらの脆弱性に対して攻撃者の目線で攻撃を行い、実際に目的達成の可否を検証するためのテストです。

どちらもセキュリティ強化の一環として重要であり、それぞれの特性を理解したうえで選択または組み合わせて、セキュリティを向上させることが望ましいと言えます。

プラットフォーム診断が必要な理由

プラットフォーム診断の目的

プラットフォーム診断の主な目的は、システムやネットワークに存在する潜在的な脆弱性を特定し、それらに対する適切な対策を講じることです。

定期的に診断を行うことで、新たに発見された脆弱性への対応や既知の脆弱性の確認を可能にし、セキュリティを強化することができます。

また、攻撃者の標的となるリスクを最小限に抑え、重要なデータやシステムの保護を確保します。組織がプラットフォーム診断を実施することで、セキュリティポリシーの遵守やコンプライアンスの要件を満たし、信頼性と可用性を高めることが可能です。

プラットフォーム診断の必要性

プラットフォーム診断の定期的かつ継続的な実施は、組織にとって不可欠であり、主に設定不備や既知の脆弱性への対応が必要な要因として挙げられます。

設定不備は、セキュリティを脆弱にし、悪意のある攻撃者に侵入の突破口を提供します。 そのため定期的に診断を行うことで、設定の不備を発見し、適切な設定に修正することができます。

また、既知の脆弱性への対応も重要です。攻撃者は常に既知の脆弱性を悪用しようとするため、これらの脆弱性への対策が不可欠です。定期的な診断によって、システムに存在する既知の脆弱性を特定し、適切なパッチや更新を適用することができます。

さらに、運用の過程で意図せず変更された安全でない設定も懸念されます。システムの運用は常に変化しており、新たな構成や設定が導入されることがありますが、これらの変更がセキュリティを危険にさらす可能性があります。定期的に診断を行うことで、これらの変更が安全かどうかを確認し、必要に応じて修正することができます。

プラットフォーム診断の種類

リモート診断

リモート型のプラットフォーム診断は、遠隔地からOSやミドルウェアの脆弱性を特定する手法です。専門家はインターネットを介してシステムを分析し、潜在的な脅威やセキュリティリスクを特定します。

一般的には外部からアクセス可能な、サーバー、ネットワークデバイス、データベースシステム、ウェブアプリケーションなど、組織の重要なITインフラストラクチャーが対象となります。

これらのシステムにおける脆弱性やセキュリティ上の問題を特定することが、リモート型のプラットフォーム診断の主な目的です。

オンサイト診断

オンサイト型のプラットフォーム診断は、セキュリティエンジニアがお客様のオフィスやデータセンターに直接訪問し、内部セグメントからネットワーク機器、サーバーなどのプラットフォームを診断する手法です。

一般的には特定のネットワークからのみアクセス可能な、サーバー、ネットワーク機器、データベース、ウェブアプリケーションなど、組織の重要なITインフラストラクチャーが対象となります。

これらのシステムにおける脆弱性やセキュリティ上の問題を特定することが、オンサイト型のプラットフォーム診断の主な目的です。

プラットフォーム診断の費用相場

プラットフォーム診断の費用は診断対象の規模や、実施の期間など様々な要因によって異なりますが、主に以下の要因で決定します。

• プラットフォームの規模と複雑性 : プラットフォーム診断の範囲や診断対象の複雑性が増すほど、費用も増加します。大規模なシステムや複雑なネットワーク構成を診断する場合は、より多くの時間やリソースが必要となります。

• リモートかオンサイトか : リモートでの診断は通常コストを削減しますが、物理的な立ち会いが必要なオンサイト診断の場合、交通費や滞在費が追加されます。

• 独自の要件 : 顧客自身の特別な要件やニーズがある場合、それに対応するための追加の調査や対策が必要となり、それが費用を引き上げることがあります。

プラットフォーム診断の主な流れ

Step1. ヒアリング

お客様から希望の実施時期や予算、診断対象についての詳細な情報などを収集します。診断対象に関するヒアリング内容は以下のようなものです。

• 診断対象がネットワーク機器の場合 : 診断対象となるネットワーク機器の種類（ルータ、スイッチ、ファイアウォールなど）とその構成、アクセス制御リスト（ACL）、仮想局所エリアネットワーク（VLAN）などのセキュリティ機能の設定状況など

• 診断対象がクラウドサービスの場合 : 利用中のクラウドサービスの概要とクラウド環境の全体像、プロバイダーとのサービスレベル契約（SLA）に基づくサービスの可用性や性能に関する情報など

Step2. 契約手続き

お客様からいただいた診断要件をもとに診断範囲・対象を特定するための事前調査を行い、診断対象の数や工数から実施に必要な期間やお見積もりを算出し、詳細な診断内容を提案します。 そして内容に問題がなければ実際に診断を行うスケジュールを決定して契約手続きを行います。

Step3. 診断準備

ステークホルダーや関係者に診断の期間、診断範囲、目的、リスク、アクセス権限の確保などを明確に伝え、協力を得るための準備を行います。具体的には通信プロトコルの確立、リスク共有、コミュニケーション経路の整備、法的要件の確認、アラートと緊急対応計画の共有などが含まれます。

Step4. 診断の実施

自動化ツールや手動によるテストにより、診断対象となるシステムやネットワーク機器に潜む脆弱性を特定します。

例えば、OSやミドルウェア、ネットワーク機器などの診断対象を対象に様々な作業を行います。これには、既知の脆弱性やセキュリティパッチの確認、設定不備の特定や修正、意図しない設定変更の発見などが含まれます。

Step5. 報告書の提出

プラットフォーム診断の結果を報告書にまとめて提出します。一般的にこの報告書には検出された脆弱性のほかに各脆弱性に対する具体的な対策策定や修正方法について記載されており、これに則り適切な対策を実施することでネットワークのセキュリティリスクを最小限に抑えることができます。また必要に応じて報告会や再診断を実施できるケースもあります。

プラットフォーム診断のレポート例

プラットフォーム診断のレポート（報告書）は、診断の結果を文書化したものです。内容は診断対象の性質や規模によって異なりますが、一般的には以下のような内容が含まれています。

• 診断概要 : 対象となるシステムやネットワーク機器に関する情報や診断を実施する目的など。

• 診断結果 : 実施したテストケースやスキャンの内容、方法、結果に関する詳細な説明と発見された脆弱性に関する情報など。

• リスク評価 : 検出された各脆弱性についての重要度や危険度の評価と各脆弱性が組織やシステムに及ぼすリスクや潜在的な影響についての評価など。

• 対策提案 : 各脆弱性に対する具体的な対策や修正方法、およびそれらの優先順位の提案。

プラットフォーム診断を依頼する際のポイント

診断範囲

プラットフォーム診断を依頼する際には、診断範囲を明確に決めることが重要です。 診断対象となるシステムやネットワークの範囲を明確に定義し、診断の目的や重要な領域を明確に示します。また、過去のセキュリティインシデントや関連する規制要件なども考慮に入れ、総合的な診断範囲を検討します。

診断方法

プラットフォーム診断にはリモート診断とオンサイト診断の2つのアプローチがあります。リモート診断は、物理的な立ち入りが難しい場合や迅速な診断が求められる際に有用です。一方で、オンサイト診断は、物理的な機器や設備への直接アクセスが必要であり、セキュリティ課題や物理的なセキュリティ対策の評価が必要な場合に選択されます。要件や状況に基づく適切な診断方法に対応できるか確認しましょう

実績と信頼性

セキュリティエンジニアの持つ資格やCTFでの実績、サービスの導入事例などを確認しましょう。業界標準のセキュリティ資格や認定を持つサービスプロバイダーは、高い専門性を証明しています。選択した企業や担当者が信頼性があり、かつ実績を持っていることは診断結果の質を担保するうえで重要な指標です。

法令の遵守

プラットフォーム診断において法令の遵守は不可欠であり、クライアントとの契約や実施プロセスが関連法規や規制に従って行われることを保証します。特に、プライバシー法やデータ保護法、セキュリティ関連の法的要件への遵守が重要であり、法的な基準を満たすことで診断プロジェクトが適切かつ法的に実行されることが確保されます。

アフターフォロー

脆弱性が見つかった場合、報告書を提出するだけでなく具体的な対策や改善策の提案といった丁寧なサポートの有無が重要です。担当者との継続的なコミュニケーションがセキュリティの持続的な向上に寄与するためです。さらに、アフターフォローとして脆弱性の修正状況を確認し、再診断を実施してくれる会社もあるため事前に確認しておきましょう。

プラットフォーム診断に関するよくある質問とその回答

プラットフォーム診断とWebアプリケーション診断の違いは？

プラットフォーム診断とWebアプリケーション診断の違いについて、プラットフォーム診断はOSやミドルウェアの脆弱性の発見に重点を置くのに対して、Webアプリケーション診断はWebアプリケーションそのもの脆弱性の発見に重点を置きます。

プラットフォーム診断でおすすめのツールは？

プラットフォーム診断で使用されるツールには以下のようなものがあります。

• Nessus : 豊富な脆弱性データベースを備え、柔軟にカスタマイズ可能な脆弱性スキャンツールです。大規模なネットワークや複雑な環境にも適しています。

• OpenVAS (Open Vulnerability Assessment System) : オープンソースの脆弱性スキャナで、無料で利用できます。豊富な脆弱性データベースを利用し、Webアプリケーションやネットワーク機器のスキャンに対応しています。

• Qualys : クラウドベースの脆弱性管理サービスで、継続的なセキュリティモニタリングやコンプライアンスの評価に特化しています。スケーラビリティに優れています。

サイバーディフェンス研究所の診断サービスについて

サイバーディフェンス研究所には多様なセキュリティスキルを持つ専門家が結集しており、ネットワークセキュリティ、アプリケーションセキュリティ、インシデントレスポンス、脅威インテリジェンスなど、広範な分野にわたるセキュリティ課題に対処できます。

まとめ

私たちのネットワーク環境を構成するOSやサーバーといったネットワーク機器は世界中で利用されており、毎日のように新たな脆弱性や攻撃手法が発見されています。また、設定の不備により不用意に空いていたポートが攻撃者の攻撃対象・侵入経路となるケースもあります。

こうした重大なインシデントの発生を防ぐために定期的に診断を実施し、プラットフォーム上に潜む脆弱性を特定・修正する必要があります。

サイバーディフェンス研究所ではホスト単体のサービス挙動の確認や既知脆弱性有無の判定だけではなく、診断対象ネットワーク全体から得られる情報を総合的に活用し、診断対象の侵入可否を検証します。対象となるネットワークの仕様、構成、規模などを伺った上で最適なお見積りをご提案致しますのでお気軽にご相談ください。