コラム・レポート

ITインフラサービスお役立ちコラム

2022年8月26日

脆弱性診断結果から見るシステムのセキュリティー対策状況

セキュリティー サイバー攻撃 昨今話題にあがることが多くなったサイバー攻撃による被害。攻撃者はシステムのわずかな穴(セキュリティーホール/脆弱性)に対して、様々な手法で攻撃や悪用を試みます。
当社で提供をしているネットワークセキュリティー診断サービスおよびWebアプリケーションセキュリティー診断サービスの結果から、どのような脆弱性が多く検出されているのか、傾向とその対策方法についてご紹介します。

多数観測される不審なネットワーク通信や変化する攻撃手法

国立研究開発法人情報通信研究機構(NICT)が公開している「NICTER観測レポート2021」によると、ダークネット観測網(約29万IPアドレス)におけるサイバー攻撃関連の通信は合計5,180億パケット(1IPアドレス当たり約175万パケット/年)が確認されたと発表されています。
また、検知したパケットを攻撃対象別にみると、23/TCP(Telnet)、22/TCP(SSH)、445/TCP(Microsoft-DS)、80/TCP(HTTP)が上位になっています。
出典:NICTER観測レポート2021の公開|2022年|NICT-情報通信研究機構

ダークネット観測網とはインターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。
出典:https://www.nict.go.jp/press/2022/02/10-1.html#yougo7

また、Webアプリケーションセキュリティーの観点では、Open Web Application Security Project(OWASP)が公開するOWASP Top 10にて、悪用されやすさ等の観点からWebアプリケーションにおける脆弱性のTop10を抽出し、公開しています。
出典:ホーム - OWASP Top 10:2021

イメージ:ネットワーク
NICTER観測レポート/OWASP Top 10:2021項目

図1 左:NICTER観測レポート 右:OWASP Top 10:2021項目

当社ではネットワークおよびWebアプリケーションのセキュリティー診断サービスを提供しており、インターネットに潜む攻撃者の観点でシステムの脆弱性を診断しております。ネットワークとWebアプリケーションに対して検出された脆弱性の傾向を確認して、多く観測されているサイバー攻撃関連の通信と合致するのか、併せて検出された脆弱性についてどのような対策が適切なのかを確認してみましょう。

当社での検知傾向と対策(ネットワーク編)

当社におけるインターネット経由によるプラットフォームに対する診断(ネットワークセキュリティー診断サービス)において頻出している危険度の高い脆弱性は表1のようになっています。

表1 ネットワークセキュリティー診断で頻出する脆弱性
  ネットワークセキュリティー診断(リモート)
1 Apacheにおける複数の脆弱性
2 OpenSSLにおける複数の脆弱性
3 PHPにおける複数の脆弱性
4 Pulse Connect Secureにおける複数の脆弱性
5 OpenSSHにおける複数の脆弱性

プラットフォームに対する診断では、NICTER観測レポートでも上位に観測されているSSHに関する脆弱性は当社の診断でも検出されていますが、ミドルウェアの古いバージョン検知が多くみられている状況となっています。

プラットフォームにおける脆弱性診断ではミドルウェア等使用しているソフトウェアのメンテナンス不備が原因であることが大半となります。オペレーションシステムやミドルウェアに関する脆弱性は日々発表されているため、定期的なアップデートの運用をする等、常に最新の状態になるようにしておく必要があります。

当社での検知傾向と対策(Webアプリケーション編)

当社におけるWebアプリケーションに対する診断(Webアプリケーションセキュリティー診断サービス) において頻出している危険度の高い脆弱性とOWASP Top10との紐づけは表2のようになっています。

表2 Webアプリケーション診断で頻出する脆弱性
  Webアプリケーションセキュリティー診断 OWASP Top 10の項目
1 SQLインジェクション A03:2021インジェクション
2 利用者権限の不備 A01:2021 アクセス制御の不備
3 強制ブラウジング A01:2021 アクセス制御の不備
A05:2021 セキュリティの設定ミス
4 ファイルアップロード機能の不備 A05:2021 セキュリティの設定ミス
5 パラメータ改竄 A01:2021 アクセス制御の不備

Webアプリケーションに対する診断では、OWASP Top 10に挙がっている項目に該当する脆弱性が頻出されており、攻撃者から不正なアクセスがされる可能性が高い状態であるアプリケーションが多くあることが伺えます。

Webアプリケーションについては開発プロセスにおいて、上記のような脆弱性が組み込まれることが多くあります。開発プロセスにてセキュリティー対策を取り組んだり、セキュアプログラミングをおこなったりする必要があります。

システムをセキュアに保つために

当社が提供しているセキュリティー診断サービスにおいて、検知されている脆弱性の傾向を紹介しました。
プラットフォームに関しては、公開されている攻撃観測状況とは異なるミドルウェア等の脆弱性が検出されており、定期的なアップデートを行うなど、常に最新の状態に保つことが重要となります。
WebアプリケーションではOWASP Top 10に挙げられている脆弱性が多く検出されていました。これらの脆弱性は防止方法(ベストプラクティス)が公開されているので、それに従ったセキュアな設計・開発方法を導入することが重要となります。

世の中には多くの脆弱性が日々公開されていて、常にサイバー攻撃の脅威にさらされています。上記の対策に加えて脆弱性診断を実施することでシステムのセキュリティー状況を把握することが、システムをセキュアに保つことに繋がります。

  • NICTは国立研究開発法人情報通信研究機構の登録商標です。
  • OWASPはOWASP Foundation, Inc.の登録商標です。
  • ApacheはApache Software Foundationの登録商標です。
  • Pulse Connect SecureはPulse Secureの登録商標です。

関連サービス・製品

ネットワークセキュリティー診断サービス
Webアプリケーションセキュリティー診断サービス

メールマガジン「BizConnect」ご案内

メールマガジン「BizConnect」は、最新トレンド、新製品・サービスなど広いテーマ情報をお届けします。
きっとお客様の仕事の質の向上に繋がる気づきがありますので、ぜひご登録ください。

オンライン/オフラインのイベントやセミナーの開催情報をいち早くご案内いたします。

製品・サービスのご紹介や、新製品のリリース案内、キャンペーン情報などをご案内いたします。

市場トレンドや、業務改善のポイントなど、今知っておきたい情報をお届けします。
ひと息つけるコンテンツも!

メルマガの配信をご希望の方はこちら
ITインフラサービスお役立ちコラムへ戻る