脆弱性スキャン ぜいじゃくせいすきゃん
脆弱性セキュリティ診断ペネトレーションテストCVECVSSリスク管理
脆弱性スキャンについて教えて
簡単に言うとこんな感じ!
システムやネットワークに「鍵のかかっていない窓」がないか自動でチェックしてくれるツールだよ!ハッカーに侵入される前に弱点を見つけて直す、定期健康診断みたいなものなんだ!
脆弱性スキャンとは
脆弱性スキャンとは、サーバー・ネットワーク機器・Webアプリケーションなどに存在するセキュリティ上の弱点(脆弱性)を自動的に発見するための検査手法です。専用のスキャンツールが対象システムに対して既知の脆弱性パターンを突き合わせ、「このソフトウェアのバージョンには既知の穴がある」「この設定は危険だ」といった問題点をリストアップします。
ちょうど建物の防犯チェックで「鍵がかかっていない扉・窓はないか」「古くて壊れやすい錠前はないか」を一部屋ずつ点検するイメージです。人手だけでは網羅しきれない膨大なチェック項目を、ツールが短時間でカバーしてくれるのが最大のメリットです。
システム発注・運用担当者にとっては、リリース前の品質確認や定期的なセキュリティ維持のために欠かせない工程です。「うちのシステムは大丈夫だろう」という思い込みを客観的なデータで検証し、リスクへの対処優先度を判断する材料になります。
脆弱性スキャンの種類と仕組み
脆弱性スキャンには、何を対象にするかとどこから実施するかで種類が分かれます。
| 種類 | 対象 | 主な用途 |
|---|---|---|
| ネットワークスキャン | ルーター・ファイアウォール・サーバー等 | 開放ポートや設定ミスの検出 |
| Webアプリスキャン | WebサイトやAPIのURL | SQLインジェクション・XSS等の検出 |
| ホストベーススキャン | OS・インストール済みソフトウェア | パッチ未適用・設定不備の検出 |
| コンテナ/クラウドスキャン | Dockerイメージ・クラウド設定 | コンテナ内ライブラリや設定の検出 |
スキャンの実施位置:外部 vs 内部
【外部スキャン】インターネット側から実施
インターネット ──→ [ファイアウォール] ──→ サーバー群
↑ 攻撃者と同じ視点。外から見える穴を検出
【内部スキャン】社内ネットワーク側から実施
[スキャンツール] ──→ サーバー群(内部ネットワーク)
↑ 侵入後の視点。内側の設定ミスや横展開リスクを検出認証スキャン(クレデンシャルスキャン) と呼ばれる手法では、対象サーバーへのログイン情報をツールに渡すことで、OS内部のパッチ適用状況まで詳細に調べられます。
スキャン結果の深刻度評価:CVSSスコア
発見された脆弱性には CVSS(Common Vulnerability Scoring System) という国際標準の深刻度スコアが付きます。
| CVSSスコア | 深刻度 | 対応の目安 |
|---|---|---|
| 9.0〜10.0 | 緊急 (Critical) | 即時対応 |
| 7.0〜8.9 | 重大 (High) | 数日以内に対応 |
| 4.0〜6.9 | 中 (Medium) | 計画的に対応 |
| 0.1〜3.9 | 低 (Low) | リスク許容も検討可 |
| 0.0 | なし | 対応不要 |
歴史と背景
- 1990年代前半:インターネット普及とともにネットワーク攻撃が増加。最初期のスキャンツール「SATAN(Security Administrator Tool for Analyzing Networks)」が1995年に公開され話題に
- 1998年:オープンソースのネットワークスキャンツール Nmap が登場。現在も現役で使われる定番ツール
- 1999年:CVE(Common Vulnerabilities and Exposures) という脆弱性の共通識別番号体系が整備され、スキャンツールとの連携が進む
- 2000年代:Nessus・OpenVASなど商用・OSS問わずスキャンツールが多数登場。Webアプリ専用スキャナも普及
- 2010年代:クラウド化・コンテナ化の波とともに、インフラだけでなくソースコードや設定ファイルを対象にした SAST(静的解析) との組み合わせが標準化
- 2020年代:DevSecOps の概念が広まり、CI/CDパイプラインに自動スキャンを組み込む「Shift Left(開発の早い段階でセキュリティ検査を実施する考え方)」が主流に。SaaSベースのスキャンサービスも急増
脆弱性スキャン vs ペネトレーションテスト
混同されがちな2つの手法を比較します。
使い分けの実務ポイント:
- 脆弱性スキャン:広く浅く、定期的に実施して「既知の穴がないか」を継続監視する
- ペネトレーションテスト:重要システムのリリース前や、規制対応(PCI DSSなど)の要件を満たすために深く実施する
- 理想は「定期スキャンで日常監視 + 年1〜2回のペネトレーションテストで深堀り」の組み合わせ
主な脆弱性スキャンツール
| ツール名 | 種別 | 特徴 |
|---|---|---|
| Nessus | 商用(Tenable) | 業界標準。プラグイン数が豊富 |
| OpenVAS | OSS | Nessusの派生。無料で使える |
| Qualys VMDR | SaaS | クラウド型。導入が簡単 |
| OWASP ZAP | OSS | Webアプリ専用。CI/CD連携に強い |
| Trivy | OSS | コンテナ・IaC向けスキャナ |
| Burp Suite | 商用/OSS | Webアプリの手動診断にも使われる |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 9116 | security.txtの規格。脆弱性報告窓口の標準的な記述方法 |
| NIST SP 800-115 | テクニカルセキュリティテストの連邦標準ガイドライン |
関連用語
- 脆弱性 — ソフトウェアやシステムに存在するセキュリティ上の弱点
- CVE — 脆弱性に付与される共通識別番号(Common Vulnerabilities and Exposures)
- CVSS — 脆弱性の深刻度を数値化する共通評価システム
- ペネトレーションテスト — 専門家が実際の攻撃を模擬して侵入可能かを検証する手法
- ファイアウォール — ネットワークの境界で不正通信を遮断する防御機構
- DevSecOps — 開発・運用・セキュリティを統合した開発手法
- パッチ管理 — ソフトウェアの修正プログラムを計画的に適用する運用管理
- WAF — Webアプリケーションへの攻撃を検知・遮断するファイアウォール