脆弱性スキャンとは？メリット・種類・仕組みを徹底解説

未パッチの脆弱性やソフトウェアの欠陥は、攻撃者にとって格好の侵入経路となります。効果的な脆弱性管理を実現するには、まずそれらの脆弱性がどこに存在するのかを把握することが不可欠です。

Table of contents

This is the block containing the component that will be injected inside the Rich Text. You can hide this block if you want.

脆弱性スキャンの定義

脆弱性スキャンとは、ITシステムや資産を自動的に調査・分析し、セキュリティ上の脆弱性を特定するプロセスです。これは脆弱性管理プロセスの重要な要素の一つです。‍

セキュリティ脆弱性とは、システム、アプリケーション、または資産に存在する弱点や欠陥のことで、攻撃者が標的型サイバー攻撃を実行する際に悪用される可能性があります。

脆弱性スキャンでは、例えば次のような問題を検出します。

安全でないコーディング
デフォルトまたは弱い認証情報
設定ミス（ミスコンフィグレーション）
パッチが適用されていないソフトウェア
データ露出（情報漏えいのリスク）

脆弱性スキャンは脆弱性評価（vulnerability assessment）と呼ばれることもありますが、両者は厳密には異なります。

脆弱性スキャンは脆弱性を発見するプロセスを指すのに対し、脆弱性評価は検出された脆弱性にコンテキストを付与し、リスクの優先順位付けを行うプロセスを含みます。

組織は脆弱性スキャンを活用することで、ネットワーク、システム、コンテナ、その他のエフェメラルなワークロード、CI/CD パイプライン、イメージ、レジストリ、さらにはランタイム環境に至るまで、さまざまな環境に潜む脆弱性や脅威を特定できます。

ただし、すべての脆弱性スキャナーがこれらすべての領域を対象としているわけではありません。特定の領域に特化したツールも存在します。どの種類の脆弱性スキャナーを導入するかは、組織ごとの要件や環境に応じて決定されます。

‍

なぜ脆弱性スキャンが重要なのか？

脆弱性スキャンが重要なのは、組織が自社の環境に存在する脆弱性やリスクを把握し、それらを適切に修正・対処する必要があるためです。

脆弱性スキャンを活用することで、セキュリティチームはハードウェアやネットワークインフラ、パブリッククラウド資産、ソフトウェア、プラットフォーム、さらには自社開発アプリケーションに潜む脆弱性を発見し、修正することができます。

また、脆弱性スキャンはソフトウェアサプライチェーンのセキュリティ強化にも役立ちます。近年、アプリケーション開発ではサードパーティのライブラリやパッケージが広く利用されており、それらが新たな脆弱性を持ち込む可能性があるためです。

‍

脆弱性スキャンと脆弱性管理の違い

この2つの用語は非常によく似ているため混同されがちですが、脆弱性管理は脆弱性スキャンの機能を含み、さらに広い範囲をカバーするプロセスです。脆弱性スキャンは、組織の環境やワークロードに存在する脆弱性やその他の弱点に関する情報を把握するための手段です。

脆弱性スキャンは、脆弱性管理の一部にすぎません。脆弱性管理とは、組織のセキュリティシステムに存在する脆弱性や弱点を継続的に発見し、修正していくプロセスを指します。

脆弱性スキャンは、脆弱性管理の最初のステップです。スキャンによって脆弱性が検出された後、組織はそれぞれの脆弱性について、重要度や組織への影響の可能性をもとに評価し、優先順位を付けます。なお、検出されたすべての脆弱性に対して、必ずしも直ちに対応する必要があるわけではありません。どの脆弱性を優先的に修正するかは、組織ごとのセキュリティ要件やリスク許容度によって異なります。

‍

脆弱性スキャンのメリット

脆弱性スキャンを活用することで、組織は攻撃者に悪用される前に脆弱性を発見でき、よりプロアクティブにセキュリティ対策を進めることができます。

主なメリットには次のようなものがあります。

コンプライアンス要件への対応：セキュリティシステムに存在する欠陥や弱点を検査し、個人を特定できる情報（PII）やその他の重要なデータが適切に保護されていることを確認することは、PCI DSS、SOC 2、HIPAA、GDPR などの規制に準拠するうえで重要です。これらの規制が必ずしも脆弱性スキャンを明示的に求めているわけではありませんが、何らかのセキュリティテストの実施が求められています。

高コストなデータ侵害のリスクを低減：強固な脆弱性管理プログラムの一環として定期的に脆弱性スキャンを実施することで、弱点や欠陥を早期に発見し修正できます。これにより、システム停止やブランドイメージの低下といった大きな損害を伴うデータ侵害のリスクを低減できます。‍
セキュリティポスチャの向上：脆弱性スキャンによって、セキュリティチームは環境内のどこに弱点や脆弱性が存在するのかを把握できます。その結果、必要な対策を講じてセキュリティ対策やコントロールが本来の目的どおり機能するよう維持できます。
リスク管理の強化：脆弱性を発見し、そのコンテキストを理解することで、組織はそれぞれの脆弱性がもたらすリスクを評価できます。これにより、より重要度の高い問題から優先的に対応できるようになります

‍

脆弱性スキャンの課題

脆弱性スキャンには多くのメリットがありますが、導入・運用する際にはいくつかの課題も考慮する必要があります。

コンプライアンス目的だけのスキャン：:コンプライアンス要件を満たすためだけに、定期的にチェックリスト的なスキャンを実施するだけでは、スキャンとスキャンの間に長い空白期間が生まれ、その間に攻撃者が脆弱性を悪用する可能性があります。重要なデータや個人情報（PII）を保護するためには、定期的かつ継続的なスキャンを行い、他のセキュリティ対策と組み合わせて運用することが重要です。
スナップショット効果：エージェントレス方式のスキャンでは、スキャンを実行した時点に存在する脆弱性しか把握できないという制限があります。一部の脆弱性管理ツールでは、エージェントベースのオプションを提供しており、ランタイムスキャンによって継続的に脆弱性を可視化することができます。
既知の脆弱性しか検出できない：脆弱性スキャンだけでは、既知の脆弱性しか検出できません。そのため、脆弱性や脅威の検知手段としてこれだけに依存するべきではありません。ゼロデイ脆弱性を発見するためには、ランタイム検知など、他の検出手法と組み合わせて運用することが重要です。

‍

脆弱性スキャンの仕組み

脆弱性スキャンは、脆弱性管理プログラムを成功させるための最初の重要なステップであり、セキュリティ上の脆弱性やその他の脅威がどこに存在するのかを特定するために実施されます。

自動化されたスキャンでは、組織のITインフラ、システム、アプリケーションに存在する既知の脆弱性を検出します。スキャンは一般的な欠陥を特定するとともに、脆弱性フィンガープリンティングを行い、Common Vulnerabilities and Exposures（CVE）などの脆弱性データベースと照合します。

スキャンの実行方法には、エージェントレス方式、エージェント方式、またはその両方を組み合わせた方式があります。エージェントレススキャンは、運用への影響が少なく、メンテナンス負荷も低い方法です。通常はAPIを利用してシステムを迅速に分析し、脆弱性の有無を確認します。ただし、この方式ではスキャンを実行した時点の状態のみを把握するスナップショットとしての情報しか得られません。

一方、エージェントベースのスキャンでは、カーネルレベルで軽量エージェントを展開し、システムやプロセスのリアルタイムな可視性を提供します。これにより、脆弱性やその他の問題を継続的に検出できます。

これら2つのアプローチを組み合わせることで、すべてのワークロードやシステムを継続的にスキャンでき、セキュリティ上の盲点を減らすことが可能になります。

その後、脆弱性管理プロセスではリスク管理の観点から、どの脆弱性や欠陥を優先的に修正すべきかを判断します。脆弱性スキャンの結果は、発見された脆弱性を評価・分類するための指標であるCommon Vulnerability Scoring System（CVSS）と照合されます。

‍

脆弱性スキャンの種類

組織はさまざまな種類の脆弱性スキャンから、自社の環境や目的に合ったものを選択できます。脆弱性スキャンツールの中には幅広い領域をカバーできるものもあれば、特定の領域に特化したものもあります。

主な脆弱性スキャンの種類は次のとおりです。‍

ネットワークスキャン：サーバー、ルーター、エンドポイントなど、組織のネットワークを構成する要素に潜む潜在的な弱点を特定します。
ホストスキャン：サーバー、ホスト、ローカルマシンなどに存在する脆弱性や弱点を検出します。
クラウドスキャン：コンテナ、仮想マシン（VM）、サーバーレス機能など、クラウド環境に存在する脆弱性を特定します。
データベーススキャン：設定ミスや弱いパスワードなどの問題を含め、データベースシステムに存在する脆弱性を調査します。認証情報を使用してスキャンすることで、より包括的なシステム状況を把握できます。
ワイヤレススキャン：接続されているすべての無線デバイスやネットワークを特定し、接続やアクセスに関する弱点を検出します。
内部スキャン：組織のネットワーク内部やセキュリティコントロールに存在する問題を調査し、攻撃者がネットワーク境界を突破した場合に悪用される可能性のある弱点を特定します。
外部スキャン：インターネットに公開されているシステムやアプリケーションを対象に、サイバー攻撃の初期侵入経路となり得る弱点を特定します。
認証ありスキャン：管理者権限などの認証情報を使用して内部システムをより詳細に調査し、脆弱性や弱点を検出します。
認証なしスキャン：認証情報を使用せず、攻撃者が外部から悪用できる可能性のある弱点（例：開放ポートや設定ミスなど）を検出します。

Sysdigを活用して未パッチの脆弱性を特定し、修正する

攻撃者は修正を待ってはくれません。組織には、推測や大量のアラートに頼るのではなく、より確実な対策が求められます。Sysdig の脆弱性管理を利用すれば、包括的な脆弱性スキャンによって脆弱性を迅速に発見し、分析することができます。

CI/CD パイプラインやレジストリ、さらにコンテナ、VM、Kubernetes などのエフェメラルなワークロードをランタイムでスキャンし、脆弱性や弱点を深く可視化します。

Sysdig のクラウドネイティブな脆弱性管理ソリューションは、単なるスキャンにとどまりません。ワークロードやイメージなどに存在する脆弱性を優先順位付けし、修正まで対応できるよう支援します。脆弱性スキャンとランタイムベースの優先順位付けを組み合わせることで、すべての脅威を迅速に検出し、対応することが可能になります。

‍

脆弱性管理を正しいやり方で進めるための実践ガイド

ダウンロード

FAQs

What is vulnerability scanning?

What is the difference between penetration testing vs. vulnerability scanning?

ペネトレーションテストとは、脆弱性を実際に悪用することでセキュリティ対策の有効性を検証するセキュリティテストです。多くの場合、第三者の倫理的ハッカー（ホワイトハッカー）によって実施され、組織がどこに弱点を抱えているのかを把握し、セキュリティ体制の強化につなげることを目的としています。

一方、脆弱性スキャンは、組織のITインフラ、システム、アプリケーションに存在する既知の脆弱性を検出するプロセスです。これらの脆弱性は、攻撃者によってサイバー攻撃に悪用される可能性があります。脆弱性スキャンは通常、脆弱性管理の最初のステップとして実施され、その結果をもとにリスク管理や脆弱性の修正（リメディエーション）の戦略を策定します。

‍

What is the difference between vulnerability scanning vs. vulnerability management?

脆弱性スキャンとは、攻撃者がデータ侵害などのサイバー攻撃に悪用する可能性のある脆弱性や弱点、欠陥を発見するためのプロセスです。一方、脆弱性管理は、脆弱性を継続的に特定し、修正していくプロセスを指します。

脆弱性スキャンは、単独で実施することも、脆弱性管理プログラムの一部として実施することもできます。これにより、組織のITインフラやアプリケーションに存在する脆弱性を明らかにできます。脆弱性をスキャンして検出した後は、それぞれの脆弱性に対してリスクの優先順位を評価し、適切な修正・対処（リメディエーション）を行うことが重要です。

‍

セキュリティ専門家とともに、
クラウドを防御する正しい方法を試してみよう

デモを依頼