サイバー攻撃が増加している近年において、セキュリティ診断の重要性がますます高まっています。とはいえ、「どこから手を付ければよいか分からない」という方も多いと思います。本記事ではセキュリティ診断計画の立て方について、3つのステップで分かりやすく解説します。
- セキュリティ診断
単一のシステムに対して疑似的なサイバー攻撃を行うことで、脆弱性を網羅的に洗い出します。 - ペネトレーションテスト
企業内インフラ環境に対して実際のサイバー攻撃を想定したテストを実施し、特定の脆弱性や問題点を発見します。
はじめに
近年、インターネット上のサービスに対する不正ログインによるなりすましや、個人情報漏えいなどのセキュリティインシデントが多発しています。これに伴い、セキュリティに対する意識向上や、セキュリティ関連のガイドラインへの対応として「セキュリティ診断」の実施を検討する企業が増加しています。
しかしながら、例えば、取り扱うシステムが複数存在する場合、一度にすべてのシステムを診断することは現実的ではないなど各社ごとの事情があり、それを考慮してセキュリティ診断の実施を計画することは容易ではないと思います。
そこで本記事では、管理しなければならないシステムに対して、セキュリティ診断を計画的に進めていく考え方をお伝えします。
セキュリティ診断計画のステップ
セキュリティ診断計画を立てる際の大まかなステップは以下の通りです。
それぞれのステップについて詳細を説明していきます。
STEP1:システムの把握
自社で管理するシステムについて、優先度付けを行う際に必要となる情報を収集し整理を行います。
- システムで扱う情報
- インターネット公開の有無
<例>
- (例1)勤怠管理システム
システムで扱う情報:勤怠情報
インターネット公開の有無:公開無し - (例2)ECサイト
システムで扱う情報:商品情報、顧客情報
インターネット公開の有無:公開有り
STEP2:優先度付け
必要な情報をそろえた後、システムの優先度付けを行います。優先度付けは、情報セキュリティの三要素「機密性、完全性、可用性」と、それらに対する影響レベルとの関係から考えます。本記事では、NIST SP800-60(※1)の考え方に基づき解説します。
なお、STEP1にて整理した「システムで扱う情報」が複数ある場合は、各情報の影響レベルを整理した後、最も高い影響レベルをシステム全体の影響レベルとします。
- 情報セキュリティの三要素
機密性:情報へのアクセス制限を設け、漏えいしないよう保護すること
→(例)外部漏洩した場合の影響が大きい情報は機密性への影響レベルが高いと判断できます。
完全性:情報が改ざんを受けず、正確かつ完全な状態を保持すること
→(例)欠損・不具合が発生した場合の影響が大きい情報は、完全性への影響レベルが高いと判断できます。
可用性:情報が必要なときにいつでも利用可能な状態を保持すること
→(例)利用不可となった場合の影響が大きい情報は、可用性への影響レベルが高いと判断できます。 - 影響レベル
低:影響範囲が社内に限定される場合、または該当しない場合
中:影響範囲が顧客に及ぶが、個別の顧客に限定される場合
高:影響範囲が広く、多数の顧客に及ぶ場合
システム全体の影響レベルを整理した結果、高/中に該当するシステムを優先的に診断していくこととなります。
今回例示した2件で優先度判断を行う場合、影響レベル[低]の勤怠管理システムと影響レベル[高]のECサイトを比較し、より影響レベルの高いECサイトの優先度が高いという判断になります。
なお、影響レベルが同一のシステムが複数存在する場合は、インターネット公開の有無を基準として更に優先度を細分化することができます。
インターネット公開されているシステム:外部からの攻撃リスクが大きいことから優先度を高める必要があります。
インターネット公開されていないシステム:内部不正のリスクは残りますが、外部からの攻撃リスクが低いことから優先度を下げることが可能です。
また、機密性・完全性・可用性のうちどの要素を重視するか、影響レベルの分け方については各社で管理するシステムによって考え方が異なる場合もあるため、自社の基準を定めておくことも重要です。
※1参考文献:NIST Special Publication 800-60 (IPA翻訳版)
3.3.1 FIPS 199 のセキュリティ分類規格
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025339.pdf
STEP3:計画の策定と診断方法の選択
セキュリティ診断を一度も実施したことがない場合は、各システムの優先度順に初回の診断を実施してください。その後、日々アップデートされる脆弱性に対応するためにも、継続的な診断を計画していくとよりよいでしょう。しかしながら、継続的な診断といっても、どれくらいの頻度が適切であるか、疑問に思うことも多いかと思います。例えばJPCERT/CCでは、Web アプリケーションシステムに対しては年1回のセキュリティ診断を推奨しています。
この指標を踏まえ、影響度が[高][中]に該当するようなシステムは年1回、影響度[低]のシステムは少し頻度を下げるなど、現実的な運用が可能となるように優先度によって振り分けて計画を立てると、より継続しやすくなるでしょう。また、クレジットカードを取り扱う企業向けのガイドラインPCI DSSでは年4回のセキュリティ診断実施を定めています。より重要と捉えるシステムがある場合には、年4回のセキュリティ診断実施を目指して、運用体制をしっかり整えることもご検討ください。
次に、セキュリティ診断の実施方法には専門の外部ベンダへ委託する方法と、社内リソースを使って実施する方法の大きく2つの選択肢があります。どちらかの方法を選んだり、状況に応じて組み合わせたりすることも可能です。例えば、初回は外部ベンダを利用して脆弱性を詳細に確認し、脆弱性が修正されていることの確認は徐々に社内リソースで対応できるように体制を構築する方法が挙げられます。
他にも、影響レベル[高]のシステムは外部ベンダへ委託し、他のシステムを自社リソースで対応するといった方法も考えられます。
実施方法については、下表に記載のメリット・デメリットを参考にしながら、関係者間でセキュリティ診断の実施方法について検討し、より自社に適した方針を適用してください。
専門の外部ベンダへ委託する | 社内リソースを使って実施する | |
メリット |
|
|
デメリット |
|
|
一度セキュリティ診断を実施して脆弱性を洗い出したシステムでも、月日とともに新しい脆弱性に対応する必要があります。これまで解説してきた情報を参考に、自社に合った計画を立てていただき、継続的にセキュリティ診断を実施してください。
まとめ
セキュリティ診断は、システムの安全性を確保し、ユーザーからの信頼を得るために重要なプロセスです。より早く対策を講じていくためにも、計画的で継続的なセキュリティ診断の実施が欠かせません。そこで本記事が一助になれば幸いです。
ここまで、セキュリティ診断を計画的に進めていくポイントについて解説をしてきましたが、「自分たちだけで実施するには理解や判断することが難しい」「対応するための時間創出が難しい」など、課題感もあると思います。その際には、コンサルタントの活用を検討してみてはいかがでしょうか。
当社には、セキュリティ診断の経験が豊富なコンサルタントが多数在籍しており、セキュリティ診断に関する知見や実施工程を理解した上でのご支援が可能です。何かお困りの際には、ぜひお気軽にご相談ください。