脆弱性診断が一般化しない日本、野放しのセキュリティホールがもたらす危機とは|サイバーセキュリティ.com

脆弱性診断が一般化しない日本、野放しのセキュリティホールがもたらす危機とは



4月22日に開催されたサイバーセキュリティ.com主催ウェビナー「対策の第一歩は”診断”!組織の弱点から考えるセキュリティ対策の最適解」にて、脆弱性診断の話をさせていただきました。

登壇者の皆様の熱い意気込みも感じられましたが、私個人としても日本で脆弱性診断が一般化していないことは、かなり危機感があります。こういった機会に”定期的な脆弱性診断は当たり前”との感覚を少しでも多くの方に持っていただきたいと思っています。

脆弱性件数の増加

以前に比べれば「脆弱性」の話は一般化してきているとは思います。ただ、それは発見される脆弱性の件数が増加しているからに他ならないでしょう。例えばIPAでは「脆弱性対策情報データベース」を作っていますが、2020年に新規登録された件数は8,784件に上ります。

それも当然で、今はネットワークに接続される機器が激増しています。スマートシティ、スマートホームの流行、テレワークによるカメラ・モニター等々増える一方です。脆弱性が発生する可能性のある機器の母数が上がっているのだから、脆弱性が増えるのも当たり前。4人家族の我が家では絞っているつもりでも、IPアドレスを持つ機器は20台くらいになっています。

脆弱性診断が一般化しない日本

ところが、日本では脆弱性診断が一般化していません。かなり意識の高い企業が行っているくらいです。

これは大変不思議なことです。一度作り上げたシステムは永遠に脆弱性が発生しないとでも思っているのでしょうか。車で考えてみれば、定期的メンテナンスをしますし、車検もあります。時間の経過による機器の不具合や、チューニングによる不具合、あるいは設計当初からの問題等が有り得るからです。

システムも同様です。定期的に脆弱性診断を行っていないと、新たに発見された脆弱性やシステムの構成変更などにより出来てしまった脆弱性に対応できません。突然壊れたり、情報を抜かれたりするかも知れません。システムも車やその他の機械のように、定期的にチェックをするのは当たり前だと認識するべきなのです。

例えば、ISO27001では附属書A.12.7.1にこういう要求事項があります。

運用システムの検証を伴う監査要求事項及び監査活動は、業務プロセスの中断を最小限に抑えるために、慎重に計画し、合意しなければならない。

ISO27001ではシステム検証を伴う監査活動(脆弱性診断もこれに当たる)はやることが当然という認識なんです。その上で、影響を最小限に抑えるように考えよう、と。

7pay事件の衝撃

ところが、大手企業ですら簡単な脆弱性診断すらやっていないところがあります。典型的なものが「7Pay事件」です。

以前にもコラムに書かせていただきましたが、あんな脆弱性、無料ツールのOWASP ZAPでチェックするだけでも簡単に問題が見つかっていたはずなんです。そうしたら、こんな基本的な脆弱性が対処されていないのでは、とてもリリースなんてできない、となっていたでしょう。それくらい基本レベルの脆弱性診断すらやらずに、お金の動く決済サービスをリリースしてしまっていたのが7pay事件なのです。とても恐ろしいことです。

車を運転するのに安全チェックを義務付けない企業はいないでしょう。また車検を無視する企業もないはずです。なのにシステムは運用前のセキュリティ検証が疎かになっているし、定期的な脆弱性診断も行われていない。問題が起きた時の保険も加入していない。不思議なことです。

機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

そんな中、先週4月19日に経済産業省から「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」が発表されました。

参照機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました/経済産業省

これは脆弱性診断サービスを提供する側、受ける側が認識すべきことをまとめたものです。経済産業省も、国内の企業で脆弱性が野放しにされている実情を懸念しているということですね。

技術方面にも目を配ったなかなか良い手引書になっていると思いますが、特に、このうちの「別冊1 脅威分析及びセキュリティ検証の詳細解説書」は一つの目安になります。脆弱性診断をやるべきかどうか迷っているような経営層の方は是非、見ておきましょう。

この水準の内容を理解できる方が社内にいないのであれば、脆弱性診断を社内で完結させることはリスクがあるということです。とりあえず早めに外部の力量のある企業の脆弱性診断を受けておいた方が無難です。この手引きが脆弱性診断が日本企業に根付くきっかけになって欲しいと心から願います。


SNSでもご購読できます。