脆弱性診断が一般化しない日本、野放しのセキュリティホールがもたらす危機とは

4月22日に開催されたサイバーセキュリティ.com主催ウェビナー「対策の第一歩は”診断”！組織の弱点から考えるセキュリティ対策の最適解」にて、脆弱性診断の話をさせていただきました。

登壇者の皆様の熱い意気込みも感じられましたが、私個人としても日本で脆弱性診断が一般化していないことは、かなり危機感があります。こういった機会に”定期的な脆弱性診断は当たり前”との感覚を少しでも多くの方に持っていただきたいと思っています。

この記事の目次

1 脆弱性件数の増加
2 脆弱性診断が一般化しない日本
3 7pay事件の衝撃
4 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

脆弱性件数の増加

以前に比べれば「脆弱性」の話は一般化してきているとは思います。ただ、それは発見される脆弱性の件数が増加しているからに他ならないでしょう。例えばIPAでは「脆弱性対策情報データベース」を作っていますが、2020年に新規登録された件数は8,784件に上ります。

それも当然で、今はネットワークに接続される機器が激増しています。スマートシティ、スマートホームの流行、テレワークによるカメラ・モニター等々増える一方です。脆弱性が発生する可能性のある機器の母数が上がっているのだから、脆弱性が増えるのも当たり前。4人家族の我が家では絞っているつもりでも、IPアドレスを持つ機器は20台くらいになっています。

脆弱性診断が一般化しない日本

ところが、日本では脆弱性診断が一般化していません。かなり意識の高い企業が行っているくらいです。

これは大変不思議なことです。一度作り上げたシステムは永遠に脆弱性が発生しないとでも思っているのでしょうか。車で考えてみれば、定期的メンテナンスをしますし、車検もあります。時間の経過による機器の不具合や、チューニングによる不具合、あるいは設計当初からの問題等が有り得るからです。

システムも同様です。定期的に脆弱性診断を行っていないと、新たに発見された脆弱性やシステムの構成変更などにより出来てしまった脆弱性に対応できません。突然壊れたり、情報を抜かれたりするかも知れません。システムも車やその他の機械のように、定期的にチェックをするのは当たり前だと認識するべきなのです。

例えば、ISO27001では附属書A.12.7.1にこういう要求事項があります。

運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意しなければならない。

ISO27001ではシステム検証を伴う監査活動（脆弱性診断もこれに当たる）はやることが当然という認識なんです。その上で、影響を最小限に抑えるように考えよう、と。

7pay事件の衝撃

ところが、大手企業ですら簡単な脆弱性診断すらやっていないところがあります。典型的なものが「7Pay事件」です。

以前にもコラムに書かせていただきましたが、あんな脆弱性、無料ツールのOWASP ZAPでチェックするだけでも簡単に問題が見つかっていたはずなんです。そうしたら、こんな基本的な脆弱性が対処されていないのでは、とてもリリースなんてできない、となっていたでしょう。それくらい基本レベルの脆弱性診断すらやらずに、お金の動く決済サービスをリリースしてしまっていたのが7pay事件なのです。とても恐ろしいことです。