脆弱性診断とは？なぜ必要なのか？脆弱性診断の際に意識すべきガイドラインも解説！

Category：入門編

2021.06.04

はじめに

「孫子‐謀攻」「知レ彼知レ己、百戦不レ殆。」
孫子の兵法の一節にある「敵を知り、己を知れば、百戦危うからず」。これはサイバーセキュリティ戦争と言われる現代のサイバーセキュリティ対策においても非常に重要な示唆であると考えます。

己を知るための手段として、自社システム上の弱点＝脆弱性を炙り出す脆弱性診断はとても有効です。脆弱性診断によりあぶりだされた対策を実施することは、戦いにおける第一歩だと言えます。

脆弱性診断とは？

脆弱性診断とは、企業が保有する様々な社内利用や顧客向けのシステムの保護を目的として、システムの弱点（脆弱性）の有無を確認し、弱点（脆弱性）が検出された場合には、修正箇所・修正方法を明確にするサービスです。

脆弱性診断の中でも、各企業がインターネット上に公開し、独自に開発・継続的な改善を実施する、Webアプリケーションを対象としたWebアプリケーション脆弱性診断が注目されています。

脆弱性診断を実施する際の注意点

健康診断の簡易項目・詳細項目が存在する様に、また、レントゲン・MRI・エコー等の方法が存在する精密検査の様に、脆弱性診断にも様々な観点や方法が存在しています。人間の健康診断に例えると、定期的な健康診断でMRI検査は不要ですし、かといって血液検査が入っていない健康診断は項目に抜けがありそうだと思われるのではないでしょうか。

同様に脆弱性診断においても、観点や方法の適切な選択が重要になり、適切な専門家のアドバイスを聞きつつバランスの取れた実施が推奨されます。特に、自社の状況（敵を知る部分+経営）を勘案し脆弱性診断を定期的に実施できれば、サイバーセキュリティ戦争に勝ち抜く力を得たと言えるでしょう。

脆弱性診断を要請するガイドライン

自社が属する業界のガイドラインの確認を強く推奨いたします。また、主要な取引先等が属する業界のガイドラインも参照し把握した上で対応することが望ましいです。

以下ガイドラインの例示は、システムガバナンスの在り方に関する検討会とりまとめ資料の別紙「既存評価基準・規格一覧」より抜粋（一部リンクを最新版に修正）します。
https://www.meti.go.jp/shingikai/mono_info_service/system_governance/pdf/20190412_report_02.pdf
（出典：経済産業省　システムガバナンスの在り方に関する検討会）

政府

政府機関等の情報セキュリティ対策のための統一基準
https://www.nisc.go.jp/active/general/pdf/kijyun30.pdf

共通的に必要とされる情報セキュリティ対策であり、政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で、統一規範の実施のため必要な要件として、情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という。）を規定することにより、機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする。

重要インフラ

重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針
https://www.nisc.go.jp/active/infra/pdf/shishin5.pdf

重要インフラにおける機能保証の考え方を踏まえ、重要インフラサービスの安全かつ持続的な提供の実現を図る観点から、「安全基準等」において規定が望まれる項目を整理・記載することによって、「安全基準等」の策定・改定を支援することを目的としている。

金融

金融機関などコンピュータシステムの安全対策基準・解説書
FISC（FISC：Center for Financial Industry Information Systems)
『金融機関等コンピュータシステムの安全対策基準（第9 版）』（解説書、FISCガイドライン）
https://www.fisc.or.jp/publication/book/000108.php

金融庁が金融機関のシステム管理体制を検査する際に使用する、金融システムの導入・運用に係る業界標準ガイドラインを提供することを目的とする。

PCIデータセキュリティスタンダード
(PCI-DSS：Payment Card Industry Data Security Standard)
https://ja.pcisecuritystandards.org/minisite/env2/

クレジットカード情報のセキュリティを強化するために、クレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

電力

JESC Z0004（JESC：Japan Electrotechnical Standards and Codes Committee）
https://www.jesc.gr.jp//jesc-assent/private/jesc_Z0004_00.html

電力制御システム等のサイバーセキュリティ確保を目的として、電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする。

医療

医療情報システムの安全管理に関するガイドライン
https://www.mhlw.go.jp/stf/shingi2/0000166275.html

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」、「診療録等の外部保存に関するガイドライン」の見直し、及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている。

鉄道（物流・航空も同様）

鉄道分野における情報セキュリティ確保に係る安全ガイドライン
https://www.mlit.go.jp/common/001283894.pdf

各事業分野（鉄道、物流、航空、空港）において、その特性に応じた必要又は望ましい情報セキュリティの水準を明示し、個々の事業者が、重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めている。

水道

水道分野における情報セキュリティガイドライン
https://www.mhlw.go.jp/content/000731327.pdf

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて、水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの。

脆弱性診断の際に意識すべきガイドライン

脆弱性診断の際に、診断項目として参照されるガイドラインを以下に例示します。尚、すべてを網羅することは困難なため、適切に選択し実施することを推奨いたします。

OWASP Top 10

https://wiki.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf

非営利団体のOWASP（Open Web Application Security Project）が定期的に発表している、最も重大な10のリスクです。

IPA安全なウェブサイトの作り方

https://www.ipa.go.jp/security/vuln/websecurity.html

経済産業省の外郭団体である情報処理推進機構（IPA）による「安全なウェブサイトの作り方」は、IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。

OWASP　ASVS

https://www.csaj.jp/documents/NEWS/pr/20200903_OWASP_ASVS4.0-ja.pdf

OWASPアプリケーションセキュリティ検証標準はアーキテクト、開発者、テスター、セキュリティ専門家、ツールベンダ、アプリケーション利用者がセキュアなアプリケーションの定義、ビルド、テスト、検証に使用できるアプリケーションセキュリティ要件またはテストのリストです。

IPA　ウェブ健康診断仕様

https://www.ipa.go.jp/files/000017319.pdf

「ウェブ健康診断」とは、ウェブサイトを人間に例えるなら、その名のとおり「健康診断」にあたるような位置づけの診断です。人間ドックに比べると精密ではありませんが、LASDEC が平成 19 年度に実施した Web アプリケーション脆弱性診断結果等も考慮しながら重要な診断項目を検討し、改良を重ねたものです。

ウェブ健康診断は「基本的な対策が出来ているかどうかを診断するもの」とご理解ください。また、診断対象のウェブアプリケーションの全てのページを診断するものではなく、診断対象の規模にもよりますが、基本は抜き取り調査（診断）です。

脆弱性診断の新たな潮流

ここまで第三者の専門家による脆弱性診断を中心に説明させていただきました。

近年、DX推進によるアジャイル開発・スクラム開発等の開発手法の変化に伴い、開発サイクルが短期化しています。その影響で、診断期間の短縮、診断実施回数増に伴うコスト増加の課題解消を目的として、自社内で脆弱性診断を実施する内製化が注目されています。

初期は、専門家の常駐や、採用・育成による第三者診断を実施する専門家同等の技術スキル獲得が必要でした。最近は、ツールの進化により開発・運用技術者が、通常業務の中で実施する内製化も進んでいます。

脆弱性対策は日々の開発・運用サイクルの中で適切に実施していくことがとても重要になります。各現場での負担を最小化し、効果を最大化できるように、一度実施したら終わりではなく、継続的な改善を全体で進めることにより、システムを保有する企業としての、安全で安心な提供が可能になります。

おわりに

サイバーセキュリティ戦争と言われる現代において、自社システム上の弱点＝脆弱性を炙り出す脆弱性診断を実施し、脆弱性診断によりあぶりだされた対策を実施することは、非常に有効です。

その中でも、各企業がインターネット上に公開し、独自に開発・継続的な改善を実施する Webアプリケーションを対象にした Webアプリケーション脆弱性診断を定期的に実施できれば、ビジネスに致命的な影響を与えるであろう不正アクセスや情報漏えい等の様々なリスクを低減することに効果があると言えるでしょう。

執筆者

株式会社エーアイセキュリティラボ　代表取締役社長青木歩氏

「セキュリティエンジニア不足を我々の有する技術力で解決する」を理念に、2019年4月に株式会社エーアイセキュリティラボを創業。大手システム会社グループで経験を積んだサイバーセキュリティー技術のプロフェッショナル集団として、特にWebアプリケーションセキュリティーに深い知識と経験を有するメンバーによるクラウドを活用したセキュリティサービスの開発提供及び各種コンサルティングを提供。
https://www.aeyesec.jp/

当社は、エーアイセキュリティラボ社が提供するSaaS型Web脆弱性診断サービス「AeyeScan」を販売しています。