第5回 脆弱性検査ツールを知る：知ってるつもり？ 「セキュリティの常識」を再確認（1/3 ページ）

日々報告されるソフトウェアの脆弱性。脆弱性が残されたPCが1台でもあれば、そこから発生した問題が企業ネットワークの全体に問題を引き起こす可能性がある。脆弱性検査ツールは、ネットワークにつながる機器の脆弱性を診断し発見してくれる製品だ。

[横森利裕（三井物産セキュアディレクション），ITmedia]

　ネットワークで動作する機器の脆弱性（セキュリティホール）は、広範囲にわたって存在する。また、新しい脆弱性は毎日のように発見されている。IT業界のネットワーク技術者であっても、構築は得意だが、セキュリティを意識した構築・運用は苦手という話をよく聞く。構築したサイトが機能的には問題がないように見えても、安全かどうかは分からない。想定できない脆弱性のため対処をする以前に侵入されたり、不正侵入検知装置（IDS）でも検知できない状態で侵入される場合もあるのだ。また、アクセスログから外部からの侵入形跡が見つかったとしても、なぜ侵入されたか原因が分からないことも多い。

　企業の管理者が管理しなければならないPCやサーバは台数が多く、手動でその状態を探ることは困難である。しかし、企業のネットワーク上にあるほとんどのコンピュータがきちんと管理されていたとしても、管理の行き届かないPCが1台でもあれば、そこから問題が発生し全体に広がる可能性は否めない。セキュリティ上のリスクをなくすためには、ネットワーク機器の脆弱性を見つけだし、修正することが欠かせない。そんな時、「脆弱性検査ツール（Vulnerability Scanner）」を利用することが有効となってくる。自らのネットワーク機器群に対し、新たに発見された脆弱性への攻撃手法を用いて自動的に問題点を発見するツールである。

脆弱性検査ツール（Vulnerability Scanner）とは？

　検査を実施するターゲットは、PC、サーバが主な対象となる。しかし、ルータ、スイッチ、ワイヤレスデバイスなどIPアドレスの割り当てが可能なネットワーク機器は、すべて脆弱性検査の対象となりえる。例えば、ルータやスイッチは、管理ポートから設定・管理を行う。しかし、設定に問題があれば、攻撃次第では管理権限を乗っ取られ、不正に設定を変更され、社内のネットワークが使用不能となる可能性がある。ファイアウォールの設定に誤りがあったり、想定以外のサービスポートが開いていれば、それは明らかな設定ミスである。もしこのような設定、管理ミスを事前に見つけられれば、サービス提供前に設定を見直して危険を回避できるわけだ。

図1■脆弱性検査ツールで診断すべき対象は多岐にわたる