近年のサイバー攻撃は巧妙かつ複雑化しており、ランサムウェアによるシステム停止や機密情報の不正取得・漏洩といった被害が国内外で多発しています。
企業のシステムに脆弱性が残されたままでは、事業経営に深刻な影響を及ぼすセキュリティリスクを招くおそれがあります。
こうしたリスクを未然に防ぐために重要となるのが、システムをリリースする前の段階でソースコードに潜む脆弱性を洗い出す「ソースコード診断」です。
開発段階で問題点を特定し、適切に対処することで、攻撃に強い堅牢なシステムを構築できるうえに、開発の効率化にもつながります。
本記事では、昨今のサイバー攻撃のリスクや、ソースコード診断を含むセキュリティサービス活用の必要性について解説します。
ソースコード診断とは?どんなメリットがある?
一般的にソースコードとは、コンピュータに実行させたい処理を命令する文字列のことで、C言語やJavaなどのプログラミング言語で書かれます。
ソースコードは、コンピュータが理解できる機械語に変換される前の、人間が読むことができる英数字などのテキストで構成されています。
つまり、ソースコードはコンピュータを動かすための「レシピ」や「設計図」のようなものであり、その集合体によって、Webアプリケーションやシステムが動作しています。
プログラマーが作成したソースコードには、バグや見落とし、実装上のミスなどが含まれていることがあり、それがシステムの脆弱性につながる場合もあります。
そのため、プログラムが命令通り正しく処理ができるかを確認するだけでなく、サイバー攻撃の対象となる脆弱性が存在しないかも確認する必要があります。
こうしたバグの早期発見や修正を行うために、ソフトウェア開発のプロセスでは、「ソースコードレビュー」が実施されます。
開発者本人や開発者チーム、開発チームとは別の脆弱性担当チームなどがソースコードを読み、問題点を洗い出すことで品質向上を図ります。*1
しかし、開発段階でソースコードレビューを行っても、すべてのバグを発見することはできません。
近年、サイバー攻撃は巧妙化・高度化しており、脆弱性を見落としてしまうと、セキュリティ上のリスクを抱えた状態でシステムを運用することになります。
そこで必要となるのが、システムに潜む脆弱性を把握するための「脆弱性診断」です。
脆弱性診断にはさまざまな手法がありますが、プログラムに問題がないのかを網羅的に洗い出す手法が「ソースコード診断」です。
ソースコード診断は、開発者が作成したソースコードを開示して実施するため、一般的にホワイトボックステストと呼ばれています。
ソースコードを直接確認し、プログラムの内部構造や処理の流れを把握しながら診断を行うことで、ロジックの誤りや実装上の脆弱性を詳細に確認できる点が特徴です。
一方で、システムの外部から診断する方法はブラックボックステストと呼ばれ、「外部から入力した情報に対して、仕様どおりに動作するか」を確認するユーザー目線のテスト手法です。
ブラックボックステストだけでは、ソースコードに起因する脆弱性や、特定の条件下でのみ発生する問題は見落とされる可能性があります。
ソースコード診断は、こうしたブラックボックステストでは発見が難しい脆弱性を内部構造から解析し、網羅的に洗い出せる点が大きなメリットです。
また、開発プロセスにおける手戻りを削減する効果も期待できます。*2, *3
脆弱性診断が重要視される理由
近年、高度な技術を悪用したサイバー攻撃の脅威が増しています。
さらに、業務のデジタル化などのDX(デジタルトランスフォーメーション)の推進やテレワークの普及などによって、サイバー攻撃に遭うリスクや、サイバー攻撃を受けた場合に被害や影響が広範囲に波及するリスクも、以前より深刻化しています。
たとえば、ある企業がサイバー攻撃を受けると、その影響が取引先や関連企業にまで波及し、業務停止を招く「サイバードミノ」と呼ばれる事態を引き起こしてしまうこともあります(図1)。*4
図1:サイバー攻撃によって引き起こされるサイバードミノ
出所)経済産業省「中小企業のサイバーセキュリティ安心サービスのご紹介」p.1
https://www.meti.go.jp/press/2024/02/20250219001/20250219001-1.pdf
2024年にも、政府機関や交通機関、金融機関などの国や重要インフラに対するサイバー攻撃が相次いで発生していることが、警察庁の報告書で明らかになっています。
警察庁の調査によると、サイバー攻撃の前段階で行われる脆弱性探索行為などの不正アクセスは年々増加傾向にあり、サイバー攻撃のリスクが明らかに高まっています(図2)。*5
図2:警察庁が検知した不審なアクセス件数(1日・1IP アドレス当たり)
出所)警察庁サイバー警察局「令和6年におけるサイバー空間をめぐる脅威の情勢等について」p.5
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf
システムの脆弱性を狙ったサイバー攻撃を未然に防ぐためには、開発段階で潜在的な脆弱性や実装ミスを事前に発見・修正することが非常に重要です。
ソースコード診断をはじめとする脆弱性診断を実施することは、システムの脆弱性を包括的に把握でき、セキュリティリスクを低減することができます。
ソースコード診断のツール・サービスを活用しよう
ソースコード診断は、専用ツールや外部サービスを活用することで、より効率的かつ確実にセキュリティを強化することができます。
アイネットは、ブロードバンドセキュリティ社との協業によって、アプリケーションやプラットフォームに対する脆弱性診断サービスや、セキュリティリスクアセスメント等のコンサルティングサービスを提供しています。*6
脆弱性診断サービスでは、専門のエンジニアによる手動診断と、独自ツールによる自動診断を組み合わせることで、高精度の診断を実現しています。
この診断サービスの強みは、専門チームが診断・分析・保守を行うことで、担当者による品質のバラつきを抑え、継続的で一貫性のあるサービス品質を維持できる点です。
脆弱性診断の流れとしては、まず事前調査を実施して診断対象をリスト化し、顧客のニーズや対象システムの構造などに応じて診断範囲を確定します。
その後、長年の経験とノウハウの蓄積を活かして開発された独自ツールによる自動診断を実施し、さらに診断スペシャリストが手動で深部まで調査することで、ツールだけでは発見が難しい脆弱性を見つけ出すことができます(図3)。*7
図3:脆弱性診断の流れ
出所)アイネット「脆弱性診断 診断・分析・対応サービス」
https://www.inet.co.jp/product/security/vulnerability-diagnosis/
診断によって発見された脆弱性については、対策実施後に再診断を行い、問題が解決できているかどうかを確認することも可能です。
このサービスは、幅広い業種に対応しており、定期的に利用することで新たな脆弱性の発見や、最新の攻撃手法に対するシステムの耐久性を把握できます。
また、診断結果は、自社のセキュリティ強化やリスク管理に役立てることもできます。
さらに、アイネットでは、脆弱性診断サービスに加えて、企業のセキュリティ体制を総合的に支援するセキュリティ評価/コンサルティングサービスも提供しています。
主なサービス内容は以下のとおりです。*8
・セキュリティ・アドバイザリ
情報セキュリティ強化に向けた組織的な体制づくりを、社内ルールと情報システムの両面から支援。
初期支援と定常的な支援を組み合わせ、持続可能なセキュリティ対策を展開するアドバイスを提供します。*9
・リスクアセスメント
情報漏洩対策の第一歩となる現状把握を、第三者の客観的な視点から組織面とIT面の双方で分析。
アセスメント結果をもとに、対応すべき項目を明確化した最適なセキュリティプランを提案します。*10
・CSIRT構築/運用支援
企業の規模や文化にあったサイバーセキュリティ監視・対策チームの構築から運用までを支援。
豊富なインシデント対応ノウハウを活かして、インシデント発生時のルールづくりや訓練方法に関して専門知識を提供します。*11
このセキュリティ評価/コンサルティングサービスは、企業ごとの課題やシステム環境に応じて、全社的に取り組むべき改善点を抽出し、最適な解決策を提示するものです。
外部機関による脆弱性診断やセキュリティコンサルタントを活用することは、事業継続性を支えるコーポレートガバナンスの強化にも有効です。
まとめ
Webシステムの脆弱性を狙ったサイバー攻撃は年々その手口が巧妙化しており、企業のオンラインシステムの停止や機密情報の漏洩など、深刻な被害事例も少なくありません。
ケースによっては、国の安全保障や社会インフラにも影響が及び、企業の経営を脅かす事態に発展する可能性もあります。
ソースコード診断をはじめとする脆弱性診断は、攻撃される前に自らリスクを把握し、対策を講じるための重要な手段です。
専門ツールや外部サービスなどのセキュリティ支援を活用することで、自社だけでは見落としやすい改善点を洗い出せるため、より確実で効果的なセキュリティ対策を実現させることができます。
自社システムの安全性向上のために、こうしたセキュリティサービスの利用を検討してみてはいかがでしょうか。
参考文献
*1
出所)IPA「第2章 3.ソースコードレビュー」
https://www.ipa.go.jp/archive/security/vuln/programming/cc/chapter2/cc2-3.html
*2
出所)楽天モバイル「脆弱性診断(セキュリティ診断)とは?なぜ必要なのか/選び方も解説」
https://comm.rakuten.co.jp/media/security/001.html
*3
出所)政府CIOポータル「デジタル・ガバメント推進標準ガイドライン実践ガイドブック」p.30
https://cio.go.jp/sites/default/files/uploads/documents/jissen-guide_7_20210330.pdf
*4
出所)経済産業省「中小企業のサイバーセキュリティ安心サービスのご紹介」p.1
https://www.meti.go.jp/press/2024/02/20250219001/20250219001-1.pdf
*5
出所)警察庁サイバー警察局「令和6年におけるサイバー空間をめぐる脅威の情勢等について」p.5
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf
*6
出所)アイネット「アイネット、ブロードバンドセキュリティ社と協業開始 ~DX推進に不可欠な企業のセキュリティをトータルサポート~」
https://www.inet.co.jp/news/2022/-dx.html
*7
出所)アイネット「脆弱性診断 診断・分析・対応サービス」
https://www.inet.co.jp/product/security/vulnerability-diagnosis/
*8
出所)アイネット「セキュリティ評価/コンサルティング」
https://www.inet.co.jp/product/security/evaluation-consulting/
*9
出所)アイネット「セキュリティ・アドバイザリ」
https://www.inet.co.jp/product/security/evaluation-consulting/security-advisory.html
*10
出所)アイネット「リスクアセスメント」
https://www.inet.co.jp/product/security/evaluation-consulting/risk-assessment.html
*11
出所)アイネット「CSIRT構築/運用支援」
https://www.inet.co.jp/product/security/evaluation-consulting/csirt.html
