システムやネットワークのセキュリティを確保するために、脆弱性診断サービスの利用が欠かせません。しかし、どのようにして最適な脆弱性診断サービスを選べばよいのでしょうか?本ブログでは、脆弱性診断サービスの選び方や診断実施に向けての準備について紹介します。
脆弱性診断サービスの選び方
1. 診断範囲の確認
脆弱性診断サービスには、Webアプリケーション、ネットワーク、WebAPIなど、診断対象が様々あり、診断対象によって診断のやり方も異なります。まずは、自社のどの部分を診断してほしいのかを明確にし、それに対応したサービスを選びましょう。
Webサイトのコンテンツ層を診断するのであればWebアプリケーション診断、サーバやネットワークに関してはプラットフォーム診断を選択ください。レンタルサーバなどを利用していて、自社でプラットフォームを管理していない場合、プラットフォーム診断は対象外となります。
一方、クラウド環境を自社で契約して利用している場合、セキュアな設定ができているかどうかに関しては自社の責任が問われます。Proactive Defenseでは、AWS環境の各種リソースに対する設定がセキュアかどうかを診断するクラウドセキュリティ設定診断をご提供しています。
もしどの診断がよいのか分からない、という場合にはお問合せください。
2. 診断手法の種類
脆弱性診断には、ツール診断とマニュアル診断の2種類があります。ツール診断は市販されている自動診断ツールやASPサービスなどを利用して、診断作業を全てツールが行う診断です。無料のツールもあり、比較的低コストで診断することができます。ですが、検知漏れや誤検知など正確な診断ができないケースが多いのがデメリットです。
一方マニュアル診断はプロの検査員が手動診断ツールを使い、診断箇所の特定・レスポンスの検証・証跡取りなど手動で行います。 マニュアル診断はWebサイトの特性に合わせた精度の高い結果を得る為の診断サービスです。細かな部分まで診断ができ、問題箇所や対策方法をレポートにまとめてもらえるので、自社にナレッジがない場合でも安心して依頼することができます。
【ツール診断とマニュアル診断の比較表】
コスト | スケジュール調整の難易度 | 診断の精度とレポートの質 | |
ツール診断 | 安い (無償の場合もある) | (自社で行う場合)利用したいときに利用できる | 検知漏れや誤検知が発生しやすい レポートに関しては、ツールからの出力であり内容の精査が行われていない |
マニュアル診断 | 高い (30万円程度~) | 診断ベンダーの空き状況次第 | プロの検査員がチェックするため精度が高い レポートに関しては、検査員がまとめており、問題箇所や対策方法まで丁寧に記述されている |
コストやスケジュール調整の難易度という点ではツール診断にメリットがありますが、セキュリティ診断において最も重要なのは診断の精度ではないでしょうか。サービスリリースや大きな改修の後には、ぜひマニュアル診断をご検討ください。
3. 実績と信頼性
脆弱性診断サービスを提供する企業の実績や信頼性も重要な要素です。過去の事例や実績を確認し、サービスの質を評価しましょう。セキュリティ関連の認定資格を持つ検査員が在籍しているかどうかも、選定の際のポイントになります。
情報処理安全確保支援士の保有者有無を確認する
一つの判断材料として、IPA(情報処理推進機構)が実施する情報処理安全確保支援士の保有者がいるかどうか確認するのが良いでしょう。当資格は、サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者と位置付けられています。国家資格でもあり、セキュリティ関連資格の中で重視されている資格の一つです。
情報セキュリティサービス台帳への登録有無を確認する
信頼できる事業者かどうかの判断材料として、情報セキュリティサービス台帳への登録有無を確認するという方法もあります。経産省では、「情報セキュリティサービス基準」を策定していますが、⼀定の技術要件及び品質管理要件を満たし、品質の維持・向上に努めているか審査し、審査に通ったサービスのみが情報セキュリティサービス台帳へ登録されます。
Proactive Defenseでは上記いずれも満たしておりますので、安心してご依頼いただければと思います。
4. 診断後のアフターフォローの有無
脆弱性診断は実施して終わりではありません。診断結果をもとに問題箇所の改修を行って初めて対策したということになります。診断結果を受け、すべて改修できるのかどうか確認し、難しい箇所は別の対策を取るなどの判断が必要になる場合があるでしょう。
そこで脆弱性診断サービスを選定する際に、アフターフォローの有無を確認するのも良いでしょう。Proactive Defenseでは、診断結果の報告会や診断実施後の相談会を無償でご提供しています。対策の優先度などアドバイス可能ですので、ぜひご活用ください。
脆弱性診断導入に向けての準備
開発着手段階での予算の確保
脆弱性診断の費用相場を確認し、どの程度のコストがかかるのかを事前に明確にし予算を確保しておくことがポイントの1つです。脆弱性診断の費用の幅は広く、診断対象システムの規模や機能数などの要因により数十万〜数百万程度と金額は変わります。そのため、脆弱性診断を実施する際には、事前に見積もりを取って詳細を確認しておく必要があります。
予算確保のタイミングによりますが、いざ診断を実施するタイミングではすでに予算が決まっていることも多いのではないでしょうか。そこで開発の構想段階で概算見積を一度取得しておくのが良いかもしれません。Proactive DefenseのWebアプリケーション脆弱性診断の場合、仕様書や画面遷移図などひととおりの動的機能が把握できるような資料を共有いただければ、実際の診断対象システムが完成していなくとも概算見積は可能です。
スケジュールの確保
脆弱性診断は、完了までにある程度の時間がかかります。そのため早めに計画を立てて、リリース日から余裕をもって診断を開始する必要があります。特に大きなプロジェクトを開始する際には、脆弱性診断のために必要な期間を把握し、しっかりと計画を立てて実践する準備が求められます。診断期間だけでなく契約など事前準備の期間と、見つかった脆弱性を改修する期間も見ておくようにしましょう。
- 事前準備期間(約1.5か月~)
脆弱性診断の実施に向けて、見積やNDAなどの契約を締結する期間が必要です。Proactive Defenseの場合、診断を開始するまでに診断環境や診断時の連絡先などについて確認させていただくヒアリングシートへの記入も事前にお願いしています。
- 診断実施期間(約1週間~約2か月程度 ※診断対象により前後します)
実際に脆弱性診断を実施する期間です。機能数が多ければその分診断期間は長く見積もる必要があります。
- 診断後の改修期間(診断実施後約1か月~ ※見つかった問題箇所の多さにより前後します)
脆弱性診断を実施した後で見つかった問題箇所を改修する期間が必要です。脆弱性のレベルが高い(危険度の高い問題点)については、リリースまでに必ず改修を行うようにしましょう。改修後、脆弱性が修正できたかどうかを確認する再診断まで実施できればベストです。
Webアプリケーション脆弱性診断の費用感と診断実施期間の具体例
Proactive Defenseの場合の具体例として以下をご参考ください。なお下記と同じ画面数の場合でも、画面に含まれるリクエストの数により前後するためご参考程度でご確認ください。
画面数 (リクエスト数) | 費用例 | 診断日数 | |
問合せフォームなどを含むコーポレートサイト | 10画面 (30リクエスト程度) | 77万円~ | 5営業日~ |
マイページなどを含むECサイト | 50画面 (150リクエスト程度) | 275万円~ | 15営業日~ |
リクエスト数とは
リクエストとは、ユーザーが利用するブラウザなどのクライアントからWebサーバへ送信するHTTP通信のことを指します。具体的には「ユーザー側の操作により遷移先ページの表示内容が変わる動的箇所=リクエスト」と考えられます。
リクエスト数のカウント方法については下記をご参考ください。下記の3ページに含まれるリクエストの数は7リクエストです。
よくある失敗例
お客様とやり取りをさせていただく中で、あまり望ましくない事例として以下のようなケースがあります。今後脆弱性診断をご検討いただくにあたってご留意いただければと思いますので、ご参考までに紹介します。
診断開始時にシステムが完成していない
1つ目の事例としてはスケジュール管理に関するものです。システム開発においてスケジュールの遅れはよくあることですが、脆弱性診断の開始時にシステムが完成していないケースがあります。この場合、該当箇所への脆弱性診断を実施することはできません。せっかく予定いただいた脆弱性診断ができない、ということにならないよう、システム開発が遅れた時点でスケジュールの見直しをご検討いただけると良いかと思います。
システム全体を網羅できない
2つ目の事例として予算が足りないケースがあげられます。この場合、脆弱性診断の実施範囲を限定して、診断を実施する場合があります。同じロジックで作成している場合、一か所のみ診断対象として他に展開するようなやり方もありますが、なんらかの見落としが発生する可能性があります。可能な限り網羅的に診断をご検討いただきたく、プロジェクトの計画段階で脆弱性診断予算の確保をいただければと思います。
以上のようなケースにおいても、Proactive Defenseではできるだけ有益な脆弱性診断が実施できるようサポートさせていただきます。お気軽にご相談をいただけますと幸いです。
まとめ
脆弱性診断サービスの選び方には、診断範囲、診断手法、レポートの内容、企業の実績、コストといったさまざまな要素を考慮する必要があります。これらのポイントを押さえた上で、自社のセキュリティニーズに最も適したサービスを選ぶことが、サイバー攻撃からのリスクを最小限に抑える鍵となります。ぜひ、最適な脆弱性診断サービスと余裕をもった診断準備を行っていただき、企業や個人の情報を守りましょう。
なお今回のブログでご紹介させていただいたように、診断実施にあたっては事前の予算確保やスケジュール管理もポイントの一つとなります。Proactive Defenseでは実際に診断が始まる前からの相談も受け付けています。実際に対象システムが完成していなくてもご予算やスケジュールに関するアドバイスが可能ですので、ぜひお気軽にご相談ください。