この記事は、企業のCTO、システム関連部署の部長、担当者様向けの記事になっております。Webアプリケーションの脆弱性診断における誤った認識や問題点を知る機会になって頂ければと思います。
目次
脆弱性診断の一般的な認識とIPA(セキュリティガイドライン)が勧める頻度の差
セキュリティ診断の一歩目でもあるWebアプリケーション(Webサイト)の脆弱性診断についてですが皆さんはどれぐらいの頻度でやればいいと考えていますか?
1年に一回?四半期に一回?半年に一回?まずは情報検索の第一人者Googleに聞いてみました。
Google 検索結果画面
結果は1年に1回の頻度でいいとおっしゃっています。恐らくこれが皆様のなんとなくのイメージになっているのではないでしょうか?実際、弊社の従業員がヒアリングした際も1年に一回やればいいと思っている人が大半です。
では、ここで日本のIT国家戦略を支えるために設立された独立行政法人 情報処理推進機構(以下、IPA)の方針を確認してみましょう。
IPA発表のECサイト構築・運用セキュリティガイドラインより引用
上記資料の中にあるP44とP45に実施する頻度が記載されている内容を抜粋していきましょう。
| 要件 No1.サーバ及び管理端末等で利用しているソフトウェアをセキュリティパッチ等に より最新の状態にする。 |
| 要件 No2.EC サイトへの脆弱性診断を定期的及びカスタマイズを行った際に行い、見 つかった脆弱性を対策する。 |
| 要件 No3.Web サイトのアプリケーションやコンテンツ、設定等の重要なファイルの定期的な差分チェックや、Web サイト改ざん検知ツールによる監視を行う。 |
上記が脆弱性診断に絡む項目ですがIPAが提示している頻度は以下になります。
(1 の確認頻度)随時
(2 の確認頻度)プラットフォーム診断は、少なくとも四半期に1 回程度
Web アプリケーション診断は、新機能の開発や追加やシステム改 修等を行ったタイミングで実施
(3 の確認頻度)少なくとも週に1 回程度
これはECサイトという重大な個人情報を取り扱っているサイトになりますのでコーポレートサイトなどとは異なりますが、頻度は一気に高まります。
WEBサイトの脆弱性発生頻度の事例紹介
さて、1.で一般的な診断頻度やIPAが推奨する頻度について記載しました。ここまで書いても「たまにやればいいんじゃない?」と思っている方がいらっしゃると思います。そこで、実際にサイトにどれぐらいのリスクが発生しているのかを具体的に見ていきましょう。
下記のグラフをご覧ください。
こちらはsecuas(セキュアズ)をご利用頂いているある企業の約260日間のリスクの推移です。グラフに記載しているオレンジの部分は新規のリスク増加、緑の部分は対策が完了したことによりリスク減少を表しています。見て頂くと一目でわかりますが、一般的なコーポレートサイトでも年間3回の新規リスクの発生が確認できます。もし一年に一回の診断しかしていなければ3回の新規リスクを放置している状態になっています。
WEBサイトに潜む脆弱性の早期発見の必要性
脆弱性が見つかったからと言っていきなりトラブルに発展するわけではございません。脆弱性がある状態を家に例えると「玄関の鍵がかかっていないような状態」になります。玄関の鍵をかけ忘れていたからといっていきなり泥棒に入られるわけではないことは皆さんご存知の通りです。しかし、もし鍵をかけ忘れていたことを気づいたらどうしますか?
そう、ちゃんと鍵を閉めて戸締りを意識するはずです。毎日鍵を閉め忘れるといつの日か泥棒に入られる可能性が出てきます。
現代のインシデントで最も多いケースとしては脆弱性を放置していたことを悪意のある第三者に見つかり情報漏えいやサイト改ざん、サイト・メールアカウントの乗っ取りなどが発生しています。
下記の事件も、約2年間情報漏えいを続けてしまいました。もし脆弱性を早期に発見していればもっと被害を抑えることは出来たと思います。
どのようにして脆弱性の早期発見が出来るのか?
上記で書いていた通り脆弱性はいち早く見つけたほうがいいことはご理解いただけたと思います。では、どのようにして脆弱性をいち早く発見することが出来るのでしょうか。
答えは簡単です。「毎日診断を行う」ことにより早期発見が実現できます。
WEBサイトの脆弱性診断における頻度の違いが生むトラブル対応のイメージ
「毎日診断するなんてやりすぎじゃない?」と考えられた方もいらっしゃるかもしれません。先ほど、家に例えたケースで置き換えて考えてみてください。大事な自宅を守る警備会社から連絡があり「半年前から風呂場の窓が開きっぱなしになっているので閉めてくださいね。」なんて連絡があったらどう思うでしょうか。
恐らく99.9%以上の人が「その日に言ってくれよ」と思うはずです。
Webサイトも同じです。脆弱性があるということはWebサイトの玄関の鍵や風呂場の窓が開きっぱなしになっている状態です。本当のリアルタイムを求めるのであれば発生した瞬間に通知することがベストではありますが、それを実現すると「サーバー負荷が半端ないって」状態になってしまいます。
せめて、一日一回診断を実施して鍵の閉め忘れや風呂場の窓が開いていないかをチェックすることで、問題をいち早く認知して泥棒に入られる前に対策が実施出来ます。
まとめ「脆弱性の早期発見がサイトの一番のセキュリティ対策」
さて、ここまで読んで頂いているあなたはさすがに脆弱性診断が一年に一回でいいと思っているわけはないと思います。
secuas(セキュアズ)はWebセキュリティの本質に立ち返り「毎日診断」を実施しています。
前の項目でもご紹介した表を見て頂くとわかるように「毎日診断」をすることはインシデント回避のためには非常に強力な方法です。脆弱性が発生した翌朝には検知しメールにて通知をします。実際この作業を毎日誰かがやるとなるととんでもない労力とコストがかかりますがsecuas(セキュアズ)はその作業を月1万円(税別)~で実施しております。
セキュリティ対策を実施しても売り上げは上がりません。しかし、インシデントが発生した際には大きな損害が出ることで利益を削ることになります。会社の利益を減らさないためにもぜひ、賢明なご判断を頂けることを祈っております。
毎日診断で安全・安心なWebサイトの運営を実現してください。