脆弱性评価とは
脆弱性评価は、特定の期間内にできるだけ多くのセキュリティ上の欠陥を特定し、重大度を割り当てるプロセスです。このプロセスには一般に、厳格度が様々に異なり、包括的なカバレッジを重視した自動および手動の技術が含まれています。リスクベースのアプローチでは、脆弱性评価の対象はさまざまなテクノロジーの層に及び、最も一般的な場合には、ホスト層、ネットワーク層、アプリケーション層が評価対象になります。
脆弱性テストは、组织がソフトウェアおよびそれを支えるインフラストラクチャの脆弱性を、セキュリティ侵害が発生する前に特定するために役立ちます。では、ソフトウェア脆弱性とは何でしょうか。
脆弱性は、以下の2通りに定义できます。
- 悪用されることで害をもたらす可能性がある、コードのバグやソフトウェア设计の欠陥。悪用は、认証された攻撃者または认証されていない攻撃者によって生じる可能性があります。
- 悪用された场合にセキュリティ违反を引き起す、セキュリティ手顺のギャップや内部统制の弱点。
脆弱性评価のしくみ
脆弱性评価には、主に3つの目的があります。
- 重大な设计上の欠陥から単纯な构成ミスに至るまでの脆弱性を特定する。
- 开発チームが调査结果を特定し再现しやすいように、脆弱性を文书化する。
- 见つかった脆弱性の修正に関して开発者を支援するためのガイダンスを作成する。
脆弱性テストはさまざまな形式を取ります。1つの方法は、动的アプリケーション?セキュリティ?テスト(DAST)です。アプリケーション(一般には奥别产アプリケーション)の実行に関する动的解析テスト手法である顿础厂罢は、入力などの故障条件をリアルタイムに検出することでセキュリティの欠陥を特定することを特に目的としています。一方、静的アプリケーション?セキュリティ?テスト(SAST)は、プログラムを実行せずに脆弱性を特定するために、アプリケーションのソースコードまたはオブジェクトコードを解析します。
2つの手法はアプリケーションに対するアプローチが全く异なります。最适な手法はソフトウェア开発ライフサイクル(厂顿尝颁)の段阶によって异なり、検出する脆弱性の种类も异なります。たとえば、厂础厂罢は、厂顿尝颁の早期段阶でクロスサイト?スクリプティング(齿厂厂)や厂蚕尝インジェクションなどの重大な脆弱性を検出します。一方、顿础厂罢は、アウトサイドイン?ペネトレーション?テスト?アプローチを用いて、奥别产アプリケーションの実行中にセキュリティ脆弱性を特定します。
脆弱性评価のもう一つの手法として、ペネトレーション?テストにゴール指向型セキュリティ?テストを含める方法があります。敵対的アプローチ(攻撃者の方法をシミュレーションする)に重点を置いて、ペネトレーション?テストで1つ以上の特定の目標(など)を追究します。
組織で脆弱性评価が必要かどうかを確認する方法
脆弱性评価を実施し、SDLCで以前に実施したセキュリティ対策が有効であることを确认します。たとえば、开発者に対してセキュア?コーディングの适切なトレーニングを実施し、セキュリティ?アーキテクチャとソースコードのレビューを行っている组织は、こうした活动を行っていない组织よりも脆弱性数が少なくなる可能性あります。
组织がアプリケーションを开発するにしても、サードパーティ製アプリケーションを使用するにしても、脆弱性テストを毎年、あるいはアプリケーションまたはアプリケーション环境に大幅な変更を実装した后に実施することは、坚牢なセキュリティ対策を确保するために重要です。
