セキュリティ対策の要、脆弱性診断はリソース確保が重要
情報システムやそれによるサービスは現代企業にとって重要な基盤です。サイバー攻撃によりインシデントが発生すると、企業の価値や信頼性に大きな影響を与えるため、十分な注意が必要です。情報システムを自社で保有し運用するのであれば、そのようなインシデントの原因となる弱点がないかの、脆弱性診断による確認が重要です。
脆弱性診断は、一般的に自社でツールを活用するか、外部の専門家に依頼します。自社で診断を実施する場合、ツールの手配、診断人材の確保などハードルがあります。外部の専門家に依頼する場合、計画的なリソース確保がより重要となります。時期によっては依頼したくても、こちらの望むタイミングで十分な人員を確保できないことがあるためです。今回は、外部の専門家に依頼することを前提に、脆弱性診断の重要性や実施のタイミング、リソース確保のコツについて解説いたします。
1. 脆弱性診断がなぜ重要なのか
ビジネスにおいて情報システムやサービスは、企業の中核を担う重要な存在となっています。そして、その重要性が増すほど、サイバー攻撃によるインシデントが発生した場合の影響も大きくなります。顧客情報の流出や業務の停止が発生すれば、企業の信頼性や価値が大きく損なわれるおそれがあります。
しかし、情報システムは規模が大きくなるほど複雑となり、サイバー攻撃に悪用される様々な脆弱性が潜む可能性が高くなります。サイバー攻撃による深刻なインシデント発生のリスクを最小限に抑えるために、ぜひ検討したいのが脆弱性診断です。
具体的な内容に入る前に、「脆弱性診断」とは何か、本コラムにおける意味を整理します。ISO/IEC27000シリーズによる「脆弱性」の定義は 「一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点」です。「診断」の定義は「異常状態の特性を示す兆候を評価すること」です。そこで、広義では「情報資産や管理策に関する弱点全般を評価すること」という感じになりますが、本コラムではもう少し狭く「情報システムのセキュリティに関する技術的な弱点を評価すること」という意味で使うこととします。
では、まずは脆弱性診断の重要性について確認していきましょう。
1-1. 情報漏えいの防止
サイバー攻撃の中でも、報道で頻繁に取り上げられる被害として、情報の漏えいが挙げられます。企業の情報システムには、顧客情報や企業の機密情報といった多くの重要なデータが保管されており、これらを盗み出すことで転売や、公開すると脅して身代金を得られる可能性があるため、サイバー攻撃者の標的となりやすいのです。
もし顧客情報や企業の機密情報が漏えいすると、顧客や取引先からの信頼を失うことになります。深刻な場合、損害賠償や取引の減少により、多大な損失を被るケースもあります。
サイバー攻撃者は情報システムの弱点を突いて侵入し、重要な情報を盗み出します。脆弱性診断により事前に弱点を発見し解消することが重要となります。
1-2. サービスや事業停止の回避
サイバー攻撃者は情報を盗み出すだけでなく、ランサムウェアによるシステムの破壊(暗号化)をするケースも増えています。暗号化したデータやシステムを「人質」に取り、復号キーを教える条件として多額の身代金を要求(暗号通貨の送金など)します。この攻撃により、企業は事業が停止し、顧客や取引先からの信頼を失うことで、深刻な損害を被るおそれがあります。また、身代金を支払った場合、犯罪者への資金提供とみなされ、企業の評判を悪化させる要因ともなりえます。
こうした被害を防ぐためには、情報システムの弱点を早期に発見し、解消することが不可欠です。脆弱性診断により事前に弱点を発見し解消することで、ランサムウェア被害による長期にわたる業務停止や評判を悪化させるリスクが低減されます。
2. 脆弱性診断の実施タイミングと計画的な対応
脆弱性診断は計画的に適切なタイミングで行うことが大切です。新しいシステムの導入やリプレースだけでなく、Webコンテンツの更新だけでも、新たな弱点が生じるおそれがあります。また、潜在していた脆弱性が顕在化することで、攻撃に悪用されるリスクが高まる恐れもあります。そこで、システムによっては脆弱性診断を定期的に実施する場合もあります。
特にインターネットに公開しているWebサイトは世界中から攻撃されるため、弱点を早期に発見して解消する必要があります。脆弱性診断が不可欠といえるでしょう。
では具体的に、脆弱性診断をどのように計画すればよいのか考えてみましょう。
2-1. システムの導入や改修時
システムの導入や改修において、リリース前の脆弱性診断をお勧めします。特に、インターネットに公開するサービスや、特定の相手と連携するAPI等インターフェースを含む場合、世界中から攻撃されますので、十分な安全性を確認し、脆弱性が見つかれば事前に解消すべきです。
なお、改修の場合はその範囲によって、プラットフォーム診断までするか、Webアプリケーション診断だけにするか等、異なります。逆に、Web画面のみの小規模な修正でも機能に変更がある場合、脆弱性が生じるおそれがあります。
2-2. 定期的な診断
システムに潜在する脆弱性が顕在化することがあるため、定期的な診断も有効です。一般的にはインターネットに公開しているシステム・サービスを対象に実施します。実施の要否や頻度は、WAF(Web Application Fiarwall)の有無や、OS・ミドルウェアの脆弱性管理状況により判断します。また、当該システム・サービスが停止した場合の影響度も、定期的な診断の要否や頻度を判断する上で重要です。サービスが1日停止した場合の損失が数千万以上見込まれるようなシステムにおいて、年1回数百万円の脆弱性診断を依頼することは、過剰な投資でなく予算化しておくべき要件といえます。
3. リソース確保と計画的な実施のための注意点
前述のとおり、脆弱性診断は適切なタイミングで計画的に実施する必要があります。しかし、計画的に予算を確保していても、依頼を受けられる専門家(診断サービス企業)が不足しがちな時期があります。
日本国内では多くの企業が4月~3月の会計年度を採用しているため、4月に新システムのリリースを予定するケースや、確保していた予算の執行が遅れることも多く、1月~3月に脆弱性診断の依頼が集中しがちです。その結果、脆弱性診断を担当する専門家のリソースが不足し、スケジュール調整が難航するだけでなく、希望のタイミングで実施できずリリースが延期されることもあります。
予定どおりに脆弱性診断を実施するためには、どのように計画を立てるべきか、その要点を説明します。
3-1. 年度末にあわてない、早期の相談によるリスク回避
脆弱性診断は1~3月が繁忙期であることは前述のとおりです。この時期は、診断を担当する専門家のリソースが不足する傾向にあります。そこで、外部の専門家に診断を依頼して1月~3月に実施する予定の場合、10月頃までに相談されることをお勧めします。
3-2. 教育講座で確かな備えを
脆弱性診断などのセキュリティサービスは、年度末やプロジェクトのスケジュールに左右されます。これは企業の方針などによるものなので、システムやセキュリティの部門で調整することは難しいかもしれません。しかし、従業員へのセキュリティ教育講座は、そういったスケジュールに左右されません。時期に関係なく企業が必要に応じて、柔軟に導入できるセキュリティ対策のひとつです。
外部の専門家に脆弱性診断を依頼する場合でも、関連するセキュリティ教育講座を受講することで、より的確な対応が可能となります。的確な対応とは、適切な診断対象の選定や、診断結果もとにした脆弱性の解消方法に関する判断などです。
更に、経験を積むことで、自らツールを活用した診断を併用する等、リスクを踏まえた費用対効果的の高い脆弱性管理を、企画し実施できるようになります。
自社内のセキュリティスキル向上と、より専門的な分野での外部リソース活用を進める観点で、教育講座の活用が有効です。
4. 脆弱性診断などセキュリティ対策の計画はGSXに
サイバー攻撃から企業のシステムや情報を守るための、脆弱性診断を外部の専門家へ計画的に依頼するポイントやタイミング、リソース確保の重要性について解説しました。脆弱性診断に携わる専門家には限りがあるため、年度末の繁忙期に依頼が集中します。計画的に進めないとシステムのリリースの遅延、軽微な弱点の放置によるサイバー攻撃など、さまざまなリスクを抱えることになるので注意が必要です。
GSXのWebサイトには「リスクを見つける」ページがあり、脆弱性診断に関するさまざまなサービスを紹介しています。このページでは、Webアプリケーションやスマートフォンアプリの診断、脆弱性診断設計書のレビュー、さらにIoTデバイスやプラットフォームのセキュリティ診断、WordPressの脆弱性診断といった多様なサービスをご覧いただけます。また、企業のリスクを可視化する支援や、擬似的な攻撃を通じてセキュリティ対策を評価するレッドチーム評価といった専門サービスもご提供しています。自社の状況に応じた効率的なセキュリティ対策を最適なタイミングで講じるためにも、ぜひ一度GSXへご相談ください。
リスクを見つける
豊富な経験と高度なセキュリティ技術を持った専門家が、診断ツールと手動オペレーションを併用し、サイバー攻撃の起因となるセキュリティの欠陥を発見します。発見した欠陥(脆弱性)について、技術的かつ人的教育の点から最適な各種ソリューションをご提案します。
https://www.gsx.co.jp/services/findrisk/
脆弱性診断士
認定脆弱性診断士は、情報システムのセキュリティテスト(脆弱性診断)の知識や技術の習得と、そのスキルを客観的に証明する仕組みです。「認定Webアプリケーション脆弱性診断士」「認定ネットワーク脆弱性診断士」の2コースがあり、企業の情報セキュリティ対策に必要な脆弱性診断士の育成を目的に、GSXが開発した教育カリキュラムです。
https://www.gsx.co.jp/services/securitylearning/securist/webappnwsecuritytesting.html
GSXがこれまで培った豊富なノウハウを活かし、企業の信頼できるパートナーとしてセキュリティ対策の悩みにお応えします。中期・長期的な視点に基づく計画立案の助言も可能ですので、ぜひお問い合わせください。
【執筆】
グローバルセキュリティエキスパート株式会社
プリンシパルコンサルタント
和田直樹
-------
GSXにて20年以上、様々な業種の企業に対するセキュリティ支援に従事。
関連情報
計画的なサイバーセキュリティへの取り組み方と適切な予算の確保
ランサムウェアによる企業への身代金要求など、サイバー攻撃による被害の報告が相次いでいます。企業にとってサイバーセキュリティへの取り組みは、ますます重要な課題となっています。ただし、セキュリティの脆弱な部分を特定して対策を立て、適切なセキュリティ予算を確保することは簡単ではありません。サイバーセキュリティは直接的な利益を生み出しませんが、IT活用のリターンとのバランスで対策投資を考えることが重要です。本記事では、将来を見据えたサイバーセキュリティ対策の計画方法や、そのための予算確保における重要なポイントについて解説します。
企業のサイバーセキュリティ対策は急務!:実現可能な管理のステップとは?
DX推進やリモートワークの普及など企業のIT環境が大きく変化することで、セキュリティの脆弱性が生じます。例えば、コロナ禍によりあわてて設置したVPN装置の不適切な管理により、放置されている脆弱性を悪用して侵入され、ランサムウェア被害に及んだ、等のサイバーセキュリティインシデント事例が相次いでいます。企業にとってサイバーセキュリティ対策は急務ですが、明確な指針がない、人的リソースが足りないなどの理由で、どこから手をつけたらよいのか、どのように進めればよいのかがわからないというIT担当者、セキュリティ担当者は少なくありません。そこで、多くの中堅企業において実現可能なサイバーセキュリティ管理に着手・継続するためのステップを解説し、それぞれのステップにおけるGSXのサポートについても紹介します。
ランサムウェアインシデントの教訓―最新事例から学ぶ効果的なセキュリティ対策とは
世界中の企業がランサムウェアによるサイバー攻撃を受けています。攻撃者は企業の脆弱性を悪用して侵入、ランサムウェアでシステムの情報を暗号化し、身代金を要求します。要求を断ればシステムを復旧できないだけでなく、盗んだ情報を公開すると更なる脅迫を行うこともあります。ランサムウェアの脅威は、日本も例外ではありません。2024年には出版・インターネットコンテンツサービスを提供する大手企業が被害にあい、大きなニュースになりました。それ以前にも、名古屋港、トヨタ自動車の関連会社などにおいて深刻な被害の発生が近年相次いでいます。これらの事例を紹介しつつ、どのように対策・対応すべきかを考えていきましょう。
セミナー・イベント
【GSX主催ウェビナー】
中小企業向けISO/IEC 27001:2022(ISMS)取得のポイント~取得時に最も工数がかかる”セキュリティ文書作成”を支援するGSX最新版オリジナル文書テンプレートのご紹介~
開催日時:2024年2月16日(金)11時00分~11時50分
【GSX主催ウェビナー】
工場セキュリティの確保は経営課題!抑えておくべきポイントとは?~製品のライフサイクルにおけるセキュリティを考えていくための視点~
開催日時:2024年2月2日(金)11時00分~11時50分
【網屋/GSX共催ウェビナー】
9割のお客様が課題を持つログ管理・運用の実態と重要性とは?
開催日時:2023年11月29日(水)11時00分~12時00分お問い合わせ
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。