第5回 脆弱性検査ツールを知る:知ってるつもり? 「セキュリティの常識」を再確認(2/3 ページ)
» 2005年01月21日 10時00分 公開
[横森利裕(三井物産セキュアディレクション),ITmedia]
攻撃者は新規に立ち上がったサイトを狙うとき、入り口であるルータを最初の目標としてアクセス不能にすることが多い。脆弱性検査ツールでは、このようなハッカー/クラッカーが利用する攻撃手法をツール内に取り入れ、次々と機器に攻撃を繰り返す形で脆弱性を検査する機能を持つ。脆弱な機器であれば、設定上の問題点が多く見つかったり、停止することも少なくない。
脆弱性検査ツールは一般的に、OSや提供サービスの脆弱性を検査するためのものであるが、データベースシステム内の脆弱性やファイルの不正改ざんの検知に特化しているものもある。
| 製品名 | 社名 |
|---|---|
| Internet Scanner | Internet Security Systems |
| LANguard Network Security Scanner | GFI Software |
| Nessus | Open Source |
| Retina Network Security Scanner | eEye Digital Security |
| nCircle IP360 | nCircle |
| ネットワーク機器の脆弱性:OSや通信アプリケーションの脆弱性をリモートで検査する | |
| 製品名 | 社名 |
|---|---|
| Internet Scanner | Internet Security Systems |
| LANguard Network Security Scanner | GFI Software |
| Nessus | Open Source |
| Retina Network Security Scanner | eEye Digital Security |
| nCircle IP360 | nCircle |
| データベースの脆弱性:事前にDBユーザーアカウントを使用しデータベースシステムの検査をする | |
| 製品名 | 社名 |
|---|---|
| Tripwire | Tripwire |
| System Scanner | Internet Security Ststems |
| ファイル改ざんの検出:ファイル群の内容をHash値等で比較し改ざん状態を検査する | |
各社ともBugtraq、CVE、Xforceといった脆弱性を公開しているサイトのデータベースと連携しており、最新の攻撃手法のプラグインをインターネット越しに取り込んで反映すること可能だ。ほとんどの脆弱性検査ツールは、この機能を自動化している。
脆弱性検査ツールを導入する前には、ツールによって製品検出精度や使用感が異なるので、特性を考慮して選ぶことをお勧めする。ツールを使えば、個人レベルで使用するデスクトップPCや、ノートPCにいたるまで手軽に検査することができるようになるが、どの製品でも100%正確に検出できないのが現状である。誤検知はかなり高い確率で起こるので、検出結果と対象コンピュータの特性を判断して、正しい目で脆弱性を見極めるスキルが求められてくる。
注目されるWebアプリケーションの脆弱性
Copyright © ITmedia, Inc. All Rights Reserved.
SpecialPR
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- “AIエージェントの次”のトレンドは何か Gartnerが描く未来志向型インフラのハイプ・サイクル
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 汎用LLMはもう終わり? Gartnerが「次の5年」を決める技術を発表
あなたにおすすめの記事PR
ITmediaはアイティメディア株式会社の登録商標です。