サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

脆弱性診断が一般化しない日本、野放しのセキュリティホールがもたらす危機とは



4月22日に開催されたサイバーセキュリティ.com主催ウェビナー「対策の第一歩は”診断”!組織の弱点から考えるセキュリティ対策の最適解」にて、脆弱性診断の話をさせていただきました。

登壇者の皆様の熱い意気込みも感じられましたが、私個人としても日本で脆弱性診断が一般化していないことは、かなり危機感があります。こういった機会に”定期的な脆弱性診断は当たり前”との感覚を少しでも多くの方に持っていただきたいと思っています。

脆弱性件数の増加

以前に比べれば「脆弱性」の話は一般化してきているとは思います。ただ、それは発見される脆弱性の件数が増加しているからに他ならないでしょう。例えばIPAでは「脆弱性対策情報データベース」を作っていますが、2020年に新規登録された件数は8,784件に上ります。

それも当然で、今はネットワークに接続される機器が激増しています。スマートシティ、スマートホームの流行、テレワークによるカメラ・モニター等々増える一方です。脆弱性が発生する可能性のある機器の母数が上がっているのだから、脆弱性が増えるのも当たり前。4人家族の我が家では絞っているつもりでも、IPアドレスを持つ機器は20台くらいになっています。

脆弱性診断が一般化しない日本

ところが、日本では脆弱性診断が一般化していません。かなり意識の高い企業が行っているくらいです。

これは大変不思議なことです。一度作り上げたシステムは永遠に脆弱性が発生しないとでも思っているのでしょうか。車で考えてみれば、定期的メンテナンスをしますし、車検もあります。時間の経過による機器の不具合や、チューニングによる不具合、あるいは設計当初からの問題等が有り得るからです。

システムも同様です。定期的に脆弱性診断を行っていないと、新たに発見された脆弱性やシステムの構成変更などにより出来てしまった脆弱性に対応できません。突然壊れたり、情報を抜かれたりするかも知れません。システムも車やその他の機械のように、定期的にチェックをするのは当たり前だと認識するべきなのです。

例えば、ISO27001では附属書A.12.7.1にこういう要求事項があります。

運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意しなければならない。

ISO27001ではシステム検証を伴う監査活動(脆弱性診断もこれに当たる)はやることが当然という認識なんです。その上で、影響を最小限に抑えるように考えよう、と。

7pay事件の衝撃

ところが、大手企業ですら簡単な脆弱性診断すらやっていないところがあります。典型的なものが「7Pay事件」です。

以前にもコラムに書かせていただきましたが、あんな脆弱性、無料ツールのOWASP ZAPでチェックするだけでも簡単に問題が見つかっていたはずなんです。そうしたら、こんな基本的な脆弱性が対処されていないのでは、とてもリリースなんてできない、となっていたでしょう。それくらい基本レベルの脆弱性診断すらやらずに、お金の動く決済サービスをリリースしてしまっていたのが7pay事件なのです。とても恐ろしいことです。

車を運転するのに安全チェックを義務付けない企業はいないでしょう。また車検を無視する企業もないはずです。なのにシステムは運用前のセキュリティ検証が疎かになっているし、定期的な脆弱性診断も行われていない。問題が起きた時の保険も加入していない。不思議なことです。

機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

そんな中、先週4月19日に経済産業省から「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」が発表されました。

参照機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました/経済産業省

これは脆弱性診断サービスを提供する側、受ける側が認識すべきことをまとめたものです。経済産業省も、国内の企業で脆弱性が野放しにされている実情を懸念しているということですね。

技術方面にも目を配ったなかなか良い手引書になっていると思いますが、特に、このうちの「別冊1 脅威分析及びセキュリティ検証の詳細解説書」は一つの目安になります。脆弱性診断をやるべきかどうか迷っているような経営層の方は是非、見ておきましょう。

この水準の内容を理解できる方が社内にいないのであれば、脆弱性診断を社内で完結させることはリスクがあるということです。とりあえず早めに外部の力量のある企業の脆弱性診断を受けておいた方が無難です。この手引きが脆弱性診断が日本企業に根付くきっかけになって欲しいと心から願います。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。