第5回 脆弱性検査ツールを知る：知ってるつもり？ 「セキュリティの常識」を再確認（2/3 ページ）

日々報告されるソフトウェアの脆弱性。脆弱性が残されたPCが1台でもあれば、そこから発生した問題が企業ネットワークの全体に問題を引き起こす可能性がある。脆弱性検査ツールは、ネットワークにつながる機器の脆弱性を診断し発見してくれる製品だ。

[横森利裕（三井物産セキュアディレクション），ITmedia]

　攻撃者は新規に立ち上がったサイトを狙うとき、入り口であるルータを最初の目標としてアクセス不能にすることが多い。脆弱性検査ツールでは、このようなハッカー／クラッカーが利用する攻撃手法をツール内に取り入れ、次々と機器に攻撃を繰り返す形で脆弱性を検査する機能を持つ。脆弱な機器であれば、設定上の問題点が多く見つかったり、停止することも少なくない。

脆弱性検査ツールの検出例。このスイッチの設定は、管理ポートが見えることから脆弱性ツールは危険な項目として検出している

PC／サーバを検査した例。検査対象のWindows XPは、パッチの未適用や設定の問題点が検出されている

検出終了後独自の検査結果のレポートを生成し、修正方法を提示する機能を持っている

　脆弱性検査ツールは一般的に、OSや提供サービスの脆弱性を検査するためのものであるが、データベースシステム内の脆弱性やファイルの不正改ざんの検知に特化しているものもある。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　各社ともBugtraq、CVE、Xforceといった脆弱性を公開しているサイトのデータベースと連携しており、最新の攻撃手法のプラグインをインターネット越しに取り込んで反映すること可能だ。ほとんどの脆弱性検査ツールは、この機能を自動化している。

　脆弱性検査ツールを導入する前には、ツールによって製品検出精度や使用感が異なるので、特性を考慮して選ぶことをお勧めする。ツールを使えば、個人レベルで使用するデスクトップPCや、ノートPCにいたるまで手軽に検査することができるようになるが、どの製品でも100％正確に検出できないのが現状である。誤検知はかなり高い確率で起こるので、検出結果と対象コンピュータの特性を判断して、正しい目で脆弱性を見極めるスキルが求められてくる。

注目されるWebアプリケーションの脆弱性