2022年6月30日にデジタル庁がセキュリティに関するドキュメントをいくつかリリースしましたが、その中の一つに脆弱性診断導入に関するものがあります。
政府情報システムにおける脆弱性診断導入ガイドラインとは?
DS-221 政府情報システムにおける脆弱性診断導入ガイドライン
本文(PDF/1,078KB)
統合版(PDF/Wordファイル)(ZIP/1,292KB)・最終改定:2022年6月30日
デジタル社会推進標準ガイドライン
・ドキュメントの位置づけ:Informative(※1)
・概要:政府情報システムにおいてサイバーレジリエンスを確保するためには、脆弱性診断を実施することが重要である。本文書は、最適な脆弱性診断を選定、調達できるようにするための、脆弱性導入に係る基準とその指針について説明する。
このドキュメントは、デジタル庁が公開している「デジタル社会推進標準ガイドライン群」の一つとして位置づけられています。そのため、政府情報システムの管理責任や各機関のセキュリティ管理を担う職員に対して、脆弱性診断を実施する際の基準及びガイダンスを提供するものとされていて、政府職員を対象としたドキュメントということです。
しかし、今後様々なガイドラインのベースとなる可能性も考えられますし、このドキュメントを一つの指針として脆弱性診断の導入を検討される企業さまもいらっしゃるのではないかと思います。
KDLの脆弱性診断サービス、ガイドラインへの対応状況は?
では、弊社診断サービスがこのガイドラインにどこまで対応できているのか?ということで、対応状況をチェックしてみました。結果は以下の表に示す通りですが、ほぼ対応できている、という結果となりました!
ドキュメントでは各項目ごとに推奨レベルに関する記載(必須・推奨・任意のいずれか)がありますが、弊社診断サービスは必須項目に関してはすべて対応可能となっており、任意レベルまで含めてもほとんどの項目に対応しております。
各項目への対応状況は、標準提供かオプション提供か、あるいは要望があれば調整可能か、といった点に関しても記載しておりますので、サービス選定の際の参考としていただけますと幸いです。
全ての脆弱性診断に共通する要件
| 項目番号 | 項目 | 推奨レベル | 弊社診断サービス対応状況 |
|---|---|---|---|
| (1) | 経済産業省の「情報セキュリティサービスに関する審査登録機関基準」における「脆弱性診断サービス」の認定を取得したセキュリティベンダーであること | 必須 | 対応 情報セキュリティサービス台帳 |
| (2) | 上記(1)の認定基準における「技術要件」と「品質管理要件」を満たす人員が 1 名以上診断に参画すること | 必須 | 対応 |
| (3) | 作業従事者のうち少なくとも1名は、当該の種別の診断において 2 年以上の経験を有すること | 必須 | 対応 すべての案件に対応しているわけではないが、要望があれば調整可能 |
| (4) | 業務に関連する外部ステークホルダーとのコミュニケーションや調整業務について、2 年以上の実務経験を有する者が診断に参画すること | 必須 | 対応 すべての案件に対応しているわけではないが、要望があれば調整可能 |
| (5) | 以下を満たす者が1名以上診断に参画すること。条件を満たさない場合は、経験を満たすことと同等以上の技術を保持していることを政府機関の職員が判断できる理由が具体的に提示されること (5-1)OSCP、OSWA、GWAPT、GPEN、GMOBまたはその上位資格の保有 (5-2) CTF 等のセキュリティコンテストにおける上位入賞実績 (5-3) CVE の報告実績 | 推奨 | 未対応 今後の課題として対応検討します |
| (6) | ツールを用いる場合は、診断対象の見落とし、診断のエラーや誤検出が含まれないように手動で精査すること | 必須 | 対応 |
| (7) | 要請に応じて、休日夜間における診断業務が実施可能であること | 任意 | 対応 オプションにて対応 |
| (8) | 要請に応じて、使用するネットワーク通信帯域を制限可能であること | 任意 | 非対応 |
| (9) | 診断の実施前に実施計画書を提出すること。実施計画書には以下を含むものとする (9-1) 診断の実施方針及び実施内容 (9-2) スケジュール (9-3) 実施体制 (9-4) 情報セキュリティ管理体制 (9-5) 実施上の留意事項や準備事項 | 必須 | 対応 すべての案件に対応しているわけではないが、要望があれば調整可能 |
| (10) | 診断の実施前に、対象システムの責任者及び担当者に対して説明会を実施すること。説明会の内容は上記(9)で作成した実施計画書に準ずるものとし、診断を円滑に進められるよう、双方の役割やコミュニケーション体制を確認するものとする | 推奨 | 対応 すべての案件に対応しているわけではないが、要望があれば調整可能 |
| (11) | 診断結果の報告書には、以下の項目を記載すること。フォーマットは機関からの指定の無い限り、PDF(Portable Document Format)形式で作成するものとする。これ以外の形式を使用する場合は、事前に機関へ相談すること (11-1) 検出された脆弱性の概要 (11-2) 検出された脆弱性の深刻度 (11-3) 検出された脆弱性による影響 (11-4) 検出された脆弱性の対策方法 (11-5) 脆弱性を検出した全てのパラメータ (11-6) 脆弱性を検出した際の入力文字列 | 必須 | 対応 |
| (12) | 上記(11-2)は、実際の攻撃可能性に基づき、深刻度を評価すること。評価方法は CVSS v3.1 基本評価基準に基づく 5 段階評価(None, Low, Medium,High, Critical)とし、その算定方法も明記すること | 必須 | 対応 通常は4段階評価だが、要望があれば対応可能 |
| (13) | 上記(11-3)は、その脆弱性が悪用できることを可能な範囲で実証し、対象システムにおける現実的な攻撃の発生可能性や想定される脅威のシナリオに基づき記述すること。また、可能なものについては、実証した攻撃のスクリーンショット等の証跡を含めること | 必須 | 対応 |
| (14) | 上記(11-1)(11-3)(11-4)は政府職員が読解可能な平易な文章で記述されていること。目安として、サイバーセキュリティに 1 年程度従事した職員が読解可能であるものとする | 推奨 | 対応 |
| (15) | 診断結果の報告会を実施すること。報告会には診断の作業従事者が同席し、質疑に応じられるようにすること | 推奨 | 対応 オプションにて対応 |
| (16) | 検出された脆弱性の改修後、改修した脆弱性に対する再診断を行うこと。再診断は報告書の納品から最低 1 カ月以内の期間、1 回以上の実施ができるようにすること | 必須 | 対応 オプションにて対応、1か月以内の実施については案件ごと双方の調整可否による |
プラットフォーム診断に関する要件
| 項目番号 | 項目 | 推奨レベル | 弊社診断サービス対応状況 |
|---|---|---|---|
| (1) | 表2-1(※2)に示す全ての脆弱性種別(以下、(1-1)〜(1-4))を診断対象とすること (1-1) 不要ポートの開放 (1-2) 脆弱なソフトウェアの利用 (1-3) 設定の不備 (1-4) プロトコル固有の脆弱性 | 必須 | 対応 |
| (2) | 上記(1-1)では、TCP、UDP に対してオープンポートの確認と稼働しているサービスの推定を行うこと。TCP の確認は 1〜65535 番ポートの全てを対象とすること。UDP の確認には多くの時間を要することから、利用するツールが確認を推奨するポート(一般的に利用頻度の高いポート)の上位 100位相当を確認対象に含めること | 必須 | 対応 |
| (3) | 表2-1(※2)に示す全ての脆弱性種別(以下、(1-1)〜(1-4))を診断対象とすること (1-1) 不要ポートの開放 (1-2) 脆弱なソフトウェアの利用 (1-3) 設定の不備 (1-4) プロトコル固有の脆弱性 | 必須 | 対応 |
| (4) | ツールによる診断には、最新の攻撃手法を反映した実績ある商用ツールを活用すること。フリーツールや自社製ツールのみによる診断は行わないこと | 必須 | 対応 |
Web アプリ診断に関する要件
| 項目番号 | 項目 | 推奨レベル | 弊社診断サービス対応状況 |
|---|---|---|---|
| (1) | 表2-2(※3)に示す全ての脆弱性種別(以下、(1-1)〜(1-5))を診断対象とすること(必須) (1-1) 固有のビジネスロジックに依存するもの (1-2) 一般的な仕様上の不具合 (1-3) 実装のメカニズムに対する高度な理解が要求されるもの (1-4) 一般的な実装の不備 (1-5) 利用する Web アプリミドルウェア固有の脆弱性 | 必須 | 対応 |
| (2) | 上記(1-1)〜(1-3)の診断は全て人手で行うこと。ツールの誤検出の除去ではなく、診断そのものを人手で行うものとする | 必須 | 対応 |
| (3) | 上記(1-2)(1-4)の診断は以下の基準に準ずること。具体的には、表4-2(※4)に示す脆弱性種別を診断対象として網羅すること。他の基準を用いる場合は、表4-2(※4)に対する充足性を説明すること (3-1) NISC「政府機関等の対策基準策定のためのガイドライン(令和3年度版)」 (3-2) IPA「安全なウェブサイトの作り方 改訂第 7 版」 (3-3) 脆弱性診断士スキルマッププロジェクト「Web アプリケーション脆弱性診断ガイドライン 第 1.2 版」 | 必須 | 対応 (3-2) IPA「安全なウェブサイトの作り方 改訂第 7 版」に対応 |
| (4) | 上記(1-1)〜(1-4)の診断は、(3)の基準に加え、熟練者の経験に基づく手動の診断を行うこと | 推奨 | 対応 |
| (5) | 上記(1-4)(1-5)においてツールを用いる場合は、サイトを手動巡回すること | 必須 | 対応 |
| (6) | 機能の確認に十分な権限を有するアカウントを用いて診断を行うこと | 必須 | 対応 |
以上、脆弱性診断サービス導入検討の際の参考にしていただけますと幸いです。
サービス詳細については下記よりご確認いただけますので、ご興味がございましたら是非ご覧ください。
- 1:ガイドライン群のドキュメントの位置づけにはInformativeとNormativeの2つがあり、脆弱性診断導入ガイドラインはInformativeとなっています。Normativeが標準ガイドラインとしてルールを定めるものであるのに対し、Informativeは実践ガイドブック(参考ガイドライン)という位置づけとなっています。
- 2:政府情報システムにおける脆弱性診断導入ガイドライン
(2.2 一般的な脆弱性診断の種別 表 2-1 プラットフォーム診断で検出される脆弱性) - 3:政府情報システムにおける脆弱性診断導入ガイドライン
(2.2 一般的な脆弱性診断の種別 表 2-2 Web アプリ診断で検出される脆弱性) - 4:政府情報システムにおける脆弱性診断導入ガイドライン
(付録A. 各種診断で検出対象とする脆弱性種別 表 4-2 Web アプリ診断で対象とする脆弱性種別)
