脆弱性診断はリスク管理にどう役立つ？
脆弱性診断のメリットでリスクを評価

セキュリティの重要性が認識されるにつれ、脆弱性診断を行うサービスやツールも増えてきました。それに伴い、企業には定期的に適切な脆弱性診断を行って企業内システムのリスクを管理・評価することが求められています。脆弱性診断を行うことで、自社のシステムのリスクを管理できるだけでなく、外部からの評価にもつながるからです。ここでは脆弱性診断とリスク管理の概要と、両者の関係を紹介します。

脆弱性診断とは

脆弱性診断とは、ネットワーク機器、OS、ミドルウェア、Webアプリケーションなどに脆弱性がないか診断することです。

システムや端末、サーバーなどの脆弱性診断を受けることで、システムにあるセキュリティの欠陥を見つけ出します。発見した欠陥に必要な対策を行えば、サイバー攻撃や情報漏えいなどのトラブルを最小限に抑えることが可能です。

脆弱性とは

脆弱性（Vulnerability）とは、プログラムの不具合やバグ、設計上のミスなどが原因で発生したセキュリティ上の欠陥のことです。

脆弱性やその対策については次の記事を参考にしてください。

「担当者必見！脆弱性対策の進め方から具体的な対策方法までを解説！」

以下のように、総務省では脆弱性をセキュリティホールと同義と定義しています。

脆弱性（ぜいじゃくせい）とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。

引用元：国民のための情報セキュリティサイト

セキュリティホールについては、「セキュリティホールはなぜできる？そのリスクと対策を理解しよう」を参考にしてください。

ただし、セキュリティホールはプログラムの不具合や設計ミスであり、脆弱性はより広い意味で原因を問わずにプログラムの「弱点」を指す、という考え方もあります。

脆弱性診断の目的

脆弱性診断を行う目的は、重大な事案につながる脆弱性をトラブルの発生前に検知し、管理者に通知することです。それによって脆弱性に速やかに対処できるため、サイバー攻撃の被害に遭うリスクを減らし、安全に業務を行うことができます。

また、きちんと脆弱性対策をしていることやサイバー攻撃を防いでいることで、顧客や社会からの信用を得られるというメリットもあります。

脆弱性診断の種類

脆弱性診断には2つの種類があります。

• ツール診断

「脆弱性診断ツール」を利用する方法です。自動診断とも言います。決まった項目しか診断できませんが、スピーディーな診断が可能です。

費用を抑えたい場合や、Webアプリケーションの公開前の確認などに向いています。

• 手動診断

エンジニアが、手動で擬似的な攻撃を行い診断します。自由に項目を設定でき、幅広い範囲の診断や、より深い診断、最新情報の反映も可能です。

目的はあくまで脆弱性診断なので、実際にシステムを破壊するわけではありません。

ツール診断と手動診断を組み合わせることで、コストを抑えた効果的な診断が可能です。

脆弱性診断を行う部分

脆弱性診断を行うのは、以下のようなシステムです。どちらも同じように、脆弱性を排除し安全性を維持しなくてはなりません。

• 業務に利用しているシステム
• 自社が商品やサービスとしてユーザーに提供しているシステム

これらの両方のシステムについて、次のような部分で脆弱性診断を行います。

• サーバー
• ネットワーク
• OS、ミドルウェア
• アプリケーション、Webアプリケーション
• クライアント
• スマートフォンアプリ
• その他、接続されているIoT機器

脆弱性診断は定期的に行います。診断の頻度は最低でも年に1回程度ですが、項目によっては、週1回から月1回行うこともあります。また、システム更新時にも診断が必要です。

自社だけで安心な脆弱性診断ができる企業は少ないでしょう。ツールを導入するか、ベンダーに任せてアドバイスを受けると安心です。

脆弱性診断の詳細は次の記事を参考にしてください。

「脆弱性診断でわかること　ツールを選ぶときのポイント」

リスク管理とは

「リスク管理」（Risk Management）とは、想定されるリスクが発生しないように防止策を検討し、実行することです。中小企業庁では、次のように定義しています。

リスクマネジメントとは、リスクを組織的に管理（マネジメント）し、損失等の回避又は低減を図るプロセスをいい、ここでは企業の価値を維持・増大していくために、企業が経営を行っていく上で障壁となるリスク及びそのリスクが及ぼす影響を正確に把握し、事前に対策を講じることで危機発生を回避するとともに、危機発生時の損失を極小化するための経営管理手法をいう

引用元：4　リスクマネジメントの必要性｜中小企業庁

リスク管理の基本的な考え方

リスク管理の基本的な考え方は、「できるだけリスクを発生させない」こと、つまり徹底的なリスクの回避です。

ただし、企業や業種により、リスクとされるものの内容や優先度は異なります。また、リスクは常に同じものではありません。法改正や外部・他社の情報を常に収集し、新たに想定されるリスクを加えて、情報をアップデートしていく必要があります。

危機管理との違い

「危機管理」（Crisis Management）とは、危機が発生しても被害を最小限に抑え、危機からの脱出・回復を図ることです。危機を「必ずいつか発生するもの」と考えることが前提です。

リスク管理は「リスクを発生させないようにすること」、危機管理は「発生したリスクの被害を最小限に抑えること」です。つまり、安全性を保つには両方を併用する必要があります。

リスク管理のプロセスとポイント

リスク管理は、次のようなプロセスで行います。

参考：リスク新時代の内部統制｜中小企業庁

リスク管理のポイントは、次の3つです。

• これまでの事例をもとに、想定されるリスクをすべて洗い出すこと
• リスクの危険度を評価し、防止するための優先順位をつけること
• 対策を立案して実行したあとは放置せず、モニタリングと改善を続けること

リスク評価の手法とプロセス

リスクの評価は「リスク管理、リスクアセスメント（Risk Assessment）」とも言います。リスク管理の一部で、リスクの重大性を判断し、対策を立案して対応を決める部分です。

リスクの評価とは、リスクに優先順位をつけて「許容可能なリスク」と「処置が必要なリスク」を分けるだけではありません。影響力を縦軸に、発生確率を横軸にして、すべてのリスクをマトリックスに分類します。マトリックスをもとにして優先順位をつけますが、優先順位をつけるための基準が「リスク基準」です。

実際に対策を実行するときには、優先順位だけでなくコストや実行の難易度など、ほかの要因も加わって順序が決まります。

脆弱性診断とリスク管理の関係とは

脆弱性診断は、リスク管理全体に大きな役割を持ちます。

脆弱性診断のメリット

脆弱性診断を行うと、リスク管理に対して次のようなメリットがあります。

• リスクに対して対策を行い、サイバー攻撃の被害を抑えることができる
• リスクが可視化され、サイバー攻撃への対策がしやすくなる
• リスクの内容が明確になるので、セキュリティ対策のコストを抑えられる
• サイバー攻撃の被害を抑える適切なセキュリティ対策から、企業の社会的信用につながる

脆弱性診断をリスク管理に活用するメリット

脆弱性診断は、次のようなタイミングで行うと効果的です。

• 新しく開発したアプリケーションやシステムを公開する前に、システムに不備や脆弱性がないか最終確認を行う
• 提供中のアプリケーションやWebサービス（Webサイト）の安全性を定期的に確認し、セキュリティを強化する
• 機能追加・サービス拡張を行う前に、追加するシステムに脆弱性がないか確認する

脆弱性診断を行うだけでなく、その結果を生かして、セキュリティを強化・改善することが重要です。

まとめ：サイバーハイジーンと脆弱性診断の併用でリスク管理を

脆弱性診断によって定期的にシステムやアプリケーションの脆弱性を発見することで、セキュリティを強化できます。ただし、できれば脆弱性には、脆弱性診断を行う前に対処した方が効果的です。

そこで有効なのが、サイバーハイジーンです。日常的に端末管理とセキュリティパッチの検知・適用などの対策を行うことで、可能な限り速やかに脆弱性に対処し、システムの健康を維持することができます。

しかし、情報システム部門が手作業でサイバーハイジーンを維持するのは難しいでしょう。専用ツールを導入してシステム化するのが現実的です。

おすすめは、TaniumCloud Platformです。トータルにセキュリティを管理でき、ウイルス検知や脅威への対処だけでなくサイバーハイジーンの維持に力を入れており、被害を最小限に抑えることが可能です。14日間のトライアルがあるので、ぜひ試してみてください。

エンドポイント管理、セキュリティとリスク | Taniumプラットフォーム | Tanium

参考：

• 4　リスクマネジメントの必要性｜中小企業庁
• リスク分析、評価をどのように進めればよいでしょうか。 | ビジネスQ&A | J-Net21[中小企業ビジネス支援サイト]