Introduction
脆弱性診断の重要性や具体的な内容は理解しても、どれくらいの頻度で行うべきなのかという疑問を感じている人も多いでしょう。
脆弱性診断はそれなりに手間がかかる作業なので、頻繁にできるものではありません。しかし、実施頻度を落としすぎると、脆弱性をついたセキュリティ攻撃の被害にあってしまう可能性が高まります。そのため、脆弱性診断をどのくらいの頻度で行うべきか、知る必要があるでしょう。
この記事では、脆弱性診断の適切な頻度、項目ごとの頻度の違い、なぜ定期的な実施が必要なのかなどについてご説明します。
目次
脆弱性診断を行う適切な頻度は?
脆弱性診断を行う適切な頻度は、一般的に1年に1回以上といわれています。しかし、対象のシステムや採用している製品など、状況によってはさらに高頻度で行う必要があるケースも考えられます。
たとえば、新しい製品のため脆弱性が数多く存在する、決済機能や個人情報管理機能など重要なシステムのため、万全を期したいなどの場合です。また、脆弱性診断の目的によっては、頻繁に行った方がよい場合もあれば、1年に1回程度で十分な場合もあります。
大事なのは、状況や目的にあった頻度をその都度適切に定めていくことです。
▽あわせて読みたい▽
>>脆弱性診断(セキュリティ診断)とは?実施する目的や種類、ツールの選び方をわかりやすく解説のページへ
>>脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方などのページへ
関連サービスについて
各ガイドライン・レギュレーションが推奨する頻度
脆弱性診断を行う頻度は、それぞれの状況や診断の目的に応じて定める必要がありますが、ガイドラインも存在します。ここでは、公的機関やセキュリティ対策を扱う機関などが定めたガイドラインについて、ご説明します。
デジタル庁が推奨する頻度
デジタル庁による『政府情報システムにおける脆弱性診断導入ガイドライン(2022(令和 4)年 6 月 30 日)』によると、政府情報システムに対する脆弱性診断の頻度は、以下のように推奨されています。
・構築時診断
各システムの構築時に行う診断で、脆弱性対策の実施内容の確認やセキュリティ品質の確保を目的として実施するもの。
・定期診断
各機関で定期的に実施する診断で、各システムの脆弱性対策が適切に実施されていることの点検や監査を目的として実施するもの。
政府系の情報システム全体として、定期診断について明確な頻度を定めているわけではないようです。IPアドレス数や画面数などを定めて優先度をつけ、診断対象を選定しています。
政府系の情報システムには、国民の個人情報を扱うなど重要なシステムも多いため、十分な頻度で定期的に実施するように定められていることがわかります。
IPAが推奨する頻度
企業がECサイトを構築、運用するケースも多いでしょう。ECサイトの脆弱性診断は、どの程度の頻度で行うべきなのでしょうか?ここでは、IPA(独立行政法人情報処理推進機構)が推奨するECサイトのセキュリティ対策の実施頻度について、ご説明します。
IPAの『ECサイト構築・運用セキュリティガイドライン』では、ECサイト運用時のセキュリティ対策要件とその実施頻度を以下のように定めています。
【要件1】
サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等により最新の状態にする。(必須)
頻度:随時
【要件2】
ECサイトへの脆弱性診断を定期的及びカスタマイズを行った際に行い、見つかった脆弱性を対策する。(必須)
頻度:プラットフォーム診断は少なくとも四半期に1回程度、Webアプリケーション診断は新機能の開発や追加やシステム改修等を行ったタイミングで実施。
【要件3】
Webサイトのアプリケーションやコンテンツ、設定等の重要なファイルの定期的な差分チェックや、Web サイト改ざん検知ツールによる監視を行う。(必須)
頻度:少なくとも週に1回程度。
【要件4】
システムの定期的なバックアップの取得及びアクセスログの定期的な確認を行い不正アクセス等があればアクセスの制限等の対策を実施する。(必要)
頻度:1ヶ月に1回程度。
【要件5】
重要な情報はバックアップを取得する。(必要)
頻度:1日に1回程度。
【要件6】
WAFを導入する。(推奨)
【要件7】
サイバー保険に加入する。(推奨)
JPCERT/CCが推奨する頻度
JPCERT/CC(JPCERTコーディネーションセンター)とは、日本国内のセキュリティインシデントの報告を受けつけ、把握、支援、分析、再発防止の検討や助言などを行う機関です。
JPCERT/CCが推奨する脆弱性診断の頻度は、点検項目ごとに個別に定められています。たとえば、製品バージョンが最新であることの確認は数週間~1ヶ月に1回程度、ログインIDやパスワードの診断は1年に1回程度などです。セキュリティリスクの内容によって、適切な脆弱性診断の頻度を定めていることがわかります。
JPCERT/CCが定める点検項目ごとの脆弱性診断の頻度については『項目ごとに適切な頻度は異なる』で詳しくご説明します。
PCI-DSSが推奨する頻度
PCI-DSSとは、クレジットカード会員の情報保護を目的として定められた、クレジットカード業界の情報セキュリティ基準のことです。
PCI-DSSでは、四半期に1度、脆弱性診断を実施することが求められています。
項目ごとに適切な頻度は異なる
JPCERT/CCの『Web サイトへのサイバー攻撃に備えて』によると、点検項目ごとの脆弱性診断の頻度を以下のように定めています。
1.利用製品(プラグインなど追加の拡張機能も含む)のバージョンが最新であることの確認
目的:製品の脆弱性を狙ったサイバー攻撃を回避・低減するため
対象:WebサーバなどのWebシステム、Webサイト運用管理用PC
頻度:数週間~1ヶ月に1回程度
2.Webサーバ上のファイルの確認
目的:ファイルが改ざんされていないか、不正に作成されていないかなど、確認するため
内容:ファイルのリスト(ファイル名、サイズ、更新日時、ハッシュ値)やバックアップの取得と比較
対象:Webサーバ
頻度:1週間に1回程度
3.Webアプリケーションのセキュリティ診断
目的:自社のWebアプリケーションに脆弱性や設定の不備が存在しないか確認するため
対象:Webアプリケーション
頻度:1年に1回程度、および機能追加などの変更が行われた時
4.ログインIDとパスワードの確認
目的:管理や保守を行う目的のIDやパスワードを、複数のサービスで使いまわしていないか、安易に推測できるものを使用していないかなど、適切な運用がなされているかを確認するため
対象:Webサーバ
頻度:1年に1回程度
5.DDoS対策や、対応体制の確認
目的: WebサイトがDDoS攻撃を受けた場合の対応・手順などを確認し、異常発生時に適切に行動するため
対象: Webサーバやネットワーク
頻度: 1年に1回程度
上記のとおり、対象のシステムや目的によって、脆弱性診断の実施頻度は異なります。製品バージョン確認やファイル確認は頻度が高いためツール化し、スケジュール設定をして自動化するとよいでしょう。そのほかの診断も手順化・データ化して、引継ぎしやすい状況にしておけば、品質の高い診断を効率よく行うことが可能です。
関連サービスについて
なぜ一定頻度で脆弱性診断が必要になるのか?
なぜ、脆弱性診断は一定の頻度で行わなければならないのでしょうか?その理由について、ご説明します。
安全・安心なサービスを提供するため
顧客向けの企業サイトやECサイトなどを運用する場合には、安全・安心なサービスを提供することが求められます。
たとえば、ECサイトを運営する際には、顧客情報や顧客の決済情報、取引情報などの重要な情報を管理しています。そのような重要な情報が悪意ある攻撃者に盗まれたり、アカウントが乗っとられたりしたら、利用者に大きな損害を与えてしまうでしょう。
ECサイトは、個人情報や決済情報を預ける代わりに、店舗にわざわざ出向かなくても手軽に買い物などができる仕組みです。しかし、顧客の大事な情報を預かるからには、安心・安全なサービスを提供しなければなりません。
世のなかには脆弱性が数限りなく存在し、次々に既存の脆弱性や新しい脆弱性が発見されます。ECサイトの脆弱性診断を一度実施しても、次々と発生する脆弱性の対処を継続的に行わなければリスクは存在しつづけます。ECサイトなどのサービスを安心して使っていただくために、定期的な脆弱性診断が必要です。
悪意ある攻撃や情報漏えいのリスクを未然に防ぐため
脆弱性をついた悪意あるセキュリティ攻撃や情報漏えいなどのリスクは、脆弱性を地道につぶしていくことである程度防げます。悪意ある攻撃者を直接とり締まることや、完璧なセキュリティソフトを導入することは不可能に近いため、脆弱性への対処をつづけるしかないのです。
そして、脆弱性を一度対処したからといって安全な状態がつづくわけではなく、新しいタイプの脆弱性が次々と生まれます。そのため、システムの構築時や更改時だけでなく、何もなくても定期的に脆弱性診断を行う必要があるのです。
情報セキュリティ対策にかかるコストを低減させるため
脆弱性診断を定期的に行わないと、以下のような情報セキュリティ対策のコストが増えてしまう可能性があります。
・脆弱性を狙ったセキュリティ攻撃にあい、損害が出る
・世間の信頼を失い、売上が落ちる
・信頼を回復するために膨大なコストをかけたセキュリティ対策が必要になる
・定期的な診断を行う体制が整っていないため、診断を行う際にコストがかかる
もっとも恐ろしいのが、定期的な診断を行わず、セキュリティ攻撃の被害にあうことです。場合によっては膨大な損害が発生し、世間の信頼を失うことで売上が激減することもあります。さらに、その後の対処のためのコストが膨らむなど、大きな被害が出てしまうのです。
被害にあわなかったとしても、定期診断を行う体制が整わないため、いざ診断を行う場合に調査やノウハウ収集などの手間がかかります。結果的に、診断を行う際のコストが増大してしまうでしょう。また、ノウハウが蓄積されていないため、質の高い脆弱性診断を行えない可能性も高いです。
そのほか、脆弱性診断が行われるタイミング
ここまでご説明した内容から、脆弱性診断を定期的に実施する重要性についてご理解いただけたと思います。この項目では、定期的以外にも、脆弱性診断を行うべきタイミングとはどこなのかをご説明します。
新しいシステムを導入するタイミング
新しいシステムを導入するタイミングでは、必ず脆弱性診断を行うべきです。新しいシステムの脆弱性情報を収集し、自社の運用方法にあった脆弱性診断を行います。
新しいシステムを最初に導入したタイミングだけでなく、システムの機能追加や更改時にも診断が必要です。新しい機能に重大なバグが存在する可能性や、更改後に新たな脆弱性が生まれることもあります。そのため、新システムの導入時、システムの機能追加時、更改時には脆弱性診断を行いましょう。新しい機能を使用しない場合にも、対応が必要です。
新たなサービスをリリースするタイミング
自社で新たなサービスをリリースするタイミングにも、必ず脆弱性診断を行いましょう。新しいサービスに脆弱性が含まれている可能性は十分にあるので、攻撃者に狙われる可能性が高いです。
また、新サービスをリリースした直後にセキュリティ攻撃を受けた場合、影響度が大きいという理由もあります。新サービスをはじめてすぐに、情報漏えいや不正ログインなどが発生してしまうと、大きなイメージダウンになります。最悪の場合、新サービスを使えなくなってしまうかもしれません。
企業や事業が変革を迎えるタイミング
企業や事業が変革を迎えるタイミングでも、十分な脆弱性診断を行いましょう。業務内容の大きな変更や企業の合併などによる大きめのシステム変更などが起こることで、脆弱性が新たに生まれる可能性が高いです。
システム的な変更点だけでなく、担当者や業務フローの変更などによる人的ミスや、内部犯罪の可能性も洗い出す必要があります。
セキュリティベンダー選定のための比較チェックシート
脆弱性診断サービスの導入にあたり、数あるセキュリティベンダーの中から最適なベンダーを選定するためには確認すべき観点が多くあり、それらを正しく判断するためには本来豊富な知見が必要です。
しかし、担当者の誰しもがそのような知見を持っている訳ではありません。そこで、SHIFTは、誰でも簡単に重要な観点を押さえながら、ベンダーの比較検討ができるチェックシートをご用意しました。お客様に合った最適なセキュリティベンダーを選んでいただくことにお役立ていただければ幸いです。
脆弱性診断サービスの導入にあたり、数あるセキュリティベンダーの中から最適なベンダーを選定するためには確認すべき観点が多くあり、それらを正しく判断するためには本来豊富な知見が必要です。
しかし、担当者の誰しもがそのような知見を持っている訳ではありません。そこで、SHIFTは、誰でも簡単に重要な観点を押さえながら、ベンダーの比較検討ができるチェックシートをご用意しました。お客様に合った最適なセキュリティベンダーを選んでいただくことにお役立ていただければ幸いです。
SHIFTのセキュリティ (脆弱性)診断について
SHIFTでは、以下のような検査対象に対して、それぞれの脆弱性診断に対応しています。
<検査対象と対応する脆弱性診断>
・Webアプリケーション:Webアプリケーション脆弱性診断
・クラウド基盤:クラウド診断
・ネットワーク/サービス基盤:プラットフォーム診断/ペネトレーションテスト
・ソースコード:ソースコード診断
ツール診断と手動診断の両方に対応しており、豊富な実績があるセキュリティ診断のプロが状況に応じて使い分けていきます。SHIFTのセキュリティ診断なら、ツール診断と手動診断を的確に使い分け、品質の高い診断を実現します。
まとめ
この記事では、脆弱性診断の適切な頻度、項目ごとの頻度の違い、なぜ定期的な実施が必要なのかなどについてご説明しました。
脆弱性診断は、何事もなくても定期的に行う必要があります。しかし、コストや手間との兼ねあいから、頻繁に行えない場合もあるでしょう。そのため、自社システムの性質や運用方法、製品、また脆弱性診断の目的ごとに適した頻度を定める必要があります。
脆弱性診断の実施や適切な頻度の設定のためには、高度なセキュリティに関する専門知識が必要とされます。自社内でこれらの対応を完璧に行うのはむずかしいでしょう。そこで、脆弱性診断の実施方針を決め、実施するまでの流れを専門企業に委託することをおすすめします。高度な知識をもつ専門家が、それぞれの企業の状況にあった対応をしてくれるでしょう。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ