脆弱性診断はするかしないかで悩むものではない ハードルを下げて「何もやっていない」からの脱却を

[PR／ITmedia]

PR

　情報システム部門の人々は日々さまざまな業務に追われている。社内の端末の管理やセキュリティ対策、クラウド導入プロジェクトなど仕事は多岐にわたる。中小企業では“兼任情シス”として、他の業務に当たりながらIT周りの管理も担当する場合もあるだろう。

　そんな情シスにとって大きな負担となるのが脆弱（ぜいじゃく）性診断だ。脆弱性診断とは、Webアプリケーションなどのシステムにサイバー攻撃の原因になるような問題がないかをチェックすること。品質管理部門や情報セキュリティを専門とする情報システム部員が担当するケースも多い。

ビットフォレストの西野勝也取締役

　脆弱性診断というと、自社が攻撃を受けないようセキュリティーホールを探すために実施するイメージがあるかもしれないが、商品として開発したシステムに欠陥がないかを探す場合もある。情報セキュリティ事業を手掛けるビットフォレストの西野勝也取締役によると、近年ではメーカー側に脆弱性診断を求める企業が増えているという。

　「インシデントが増えてきたことに加え、サプライチェーンのリスクを気にする公的機関や企業が増えてきました。何らかのツールやサービスを導入する際に、提供元に対して『このサービスはきちんとセキュリティ対策を取っていますか』『どんなツールを使って検査していますか』と尋ね、審査しない限り契約を結ばない企業が増えています」（西野氏）

　こうした市場の変化を踏まえ、自社サービスを成長させるには脆弱性診断が必要だと認識した経営トップや事業責任者が「うちもそろそろ、きちんと脆弱性診断をやらなくては」と動き始めた。

　しかし、需要の高まりに反して、脆弱性診断の優先度は低く見られがちで、「できればやった方がいいもの」という位置付けにとどまっており、実施していない企業も多い。

　それは、これまでの脆弱性診断が知識と時間と費用を必要とするハードルの高い手段だったからだ。

情シスを悩ませる「手間」「知識」「費用」の問題

　ある日突然、上司から「自社システムの脆弱性診断を担当してほしい」と言われたらどう思うだろうか。多くの人は「別の業務で忙しいのに」「具体的にどうしてほしいのか分からない」「予算はどのくらいなのか」と、さまざまな疑問が浮かんだだろう。中には「脆弱性診断が何か分からない」という人もいるかもしれない。しかし、ビットフォレストには急に脆弱性診断を担当することになり慌てて相談に来る人が多いという。

　脆弱性診断のハードルを上げている一つ目の課題が手間だ。脆弱性診断は社内に専任の担当者がいる場合でも最低1週間。担当者がおらず、ゼロから始める場合はトレーニングを含めて半年以上かかると言われている。診断すればいいわけではなく、必要に応じて修正作業もあるためすぐには終わらない。

　ただでさえ現場は忙しい。開発者ならば普段の開発業務があるし、情報システム担当者ならば、エンドポイントやネットワークのセキュリティ対策、あるいはクラウド移行など、さまざまなプロジェクトに追われているはずだ。そんな中で「アプリケーションの脆弱性診断をやれと言われても……」というのが正直なところだろう。

　二つ目の課題は知識だ。脆弱性診断は信頼性が重要な作業だ。ツールを実行して、脆弱性がないという結果が出たとしても、それがどのくらい信用できるのか分からなければ「よく分からないが安全らしい」としか言えなくなってしまう。それを回避するには適切なツール選びと診断が必要になる。

　ツールを選んだ後の道のりも長い。自社システムにツールを導入し、使いこなすためのトレーニングを受けて診断を始めるまでにもかなりの学習コストがかかる。導入したその日に診断を始めるというのは難しい。

　そしていざ診断を始めると、今度は大量に出てくる結果をレビューし、開発者とともに「この問題は直してください」「こちらは大丈夫でしょう」と切り分けていく作業が必要になる。

　これだけの作業を行えるようになるには一朝一夕とはいかない。また専門性が高いため作業が属人化し、担当者に負荷が集中してしまう恐れがある。あまりの負荷にその人が退職してしまってにっちもさっちもいかなくなる、といったことも起こりうるだろう。

　ならば外注すればいいかというと、今度は予算面の壁が浮上する。脆弱性診断は専門企業に依頼すると数百万円単位のコストがかかる。繁忙期には割増料金が設定されることもある。また、脆弱性診断サービスのニーズは年々高まっており、特に年末、年度末には依頼が集中することから、発注してもすぐに実施できるとは限らない。数週間待ちならばまだいい方で、そもそも検査の人手がないからと断られることもあるという。

導入当日から始められる脆弱性診断

　こうした課題を抱える企業にとって救世主的な存在となるのが、ビットフォレストが提供するクラウド型の脆弱性診断ツール「VAddy」（バディ）だ。年間利用料は最上位プランで59万8000円（税別）。知識がなくても導入当日から診断を始められる手軽さが特徴で、「手間」「知識」「費用」の問題を一気に解決できる。

　VAddyの診断フローはこうだ。まず、診断対象のシステムをVAddyに登録。次に診断開始のボタンを押せば実行できる。診断にかかる時間は平均で12分だ。

　なぜこれほど手軽に検査できるかというと、VAddyがもともと、システム開発者が自力で診断することを念頭に置いて開発したツールだからだ。

　ビットフォレストでVAddyの開発を担当する市川快氏は「アプリケーションの挙動に一番詳しいのは、作者であるプログラマーです。自分で作った機能をその場で診断するのが一番早いだろうというコンセプトでVAddyを作っています。ユーザーが設定する項目をできる限り減らすことで誰でも使えるようにしているため、今では情シスや品質管理部門、インフラ部門などさまざまな方が使っています」と述べる。

　情報セキュリティを専門としないプログラマーなどの使用を前提としているため、複雑な知識も不要。一般的な脆弱性診断ツールでは導入時に講師を招いて使い方などを教わったり、ワークショップを開いて練習したりといった手間が発生するが、VAddyはボタンを押すだけで診断を始められるため、ユーザーの学習コストがほとんどない。

IPAの「安全なウェブサイトの作り方」に準拠し、診断の信頼性を向上

　しかし、VAddyは十分な診断項目を持っている一方で、手軽で低コストなため、脆弱性診断の知識がない人からは「果たして、VAddyの診断項目は十分なのか」と問われるケースもあるという。

　そこでビットフォレストはVAddyの検査項目の見直しを実行。最新のアップデートで、情報処理推進機構（IPA）が公表している「安全なウェブサイトの作り方」の「セキュリティ実装チェックリスト」に準拠した。

「セキュリティ実装チェックリスト」（出典：情報処理推進機構のWebサイト）

　セキュリティ実装チェックリストは、IPAに届け出られた脆弱性と実際の攻撃、それに起因する事故の重要性などを踏まえてまとめたもの。SQLインジェクション対策やアクセス制御の不備など、診断すべきポイントが一覧できる。

　以前のVAddyは実際の攻撃傾向やリスクを踏まえた独自の診断項目を設け、それに従って診断をしており、信頼性の裏付けを求められた場合に、診断項目を見せて説明するなど対応しなければならなかった。これでは説明する側にも聞く側にも情報セキュリティの知識が必要で、納得するのにも時間がかかる。

　VAddyは診断項目を増やすことでIPAの基準に準拠。診断できる範囲を広げたうえで、診断の信頼性を「IPAの基準に沿った診断を行った結果、十分な安全性があると確認できました」というように、明確かつシンプルに示せるようになった。

脆弱性診断は「するかしないか」ではいけない

　こうしてVAddyは、信頼性の高い脆弱性診断を手間なく手軽に低コストで実現できるツールとして進化を重ねた。

　「VAddy以上に詳細な脆弱性診断ができるツールも確かにあります。しかし、そのようなツールは高価で、使い始めるまでにも導入やトレーニングで時間がかかります。すると、診断のハードルが上がり、結果的にやらなくなってしまいます」（西野氏）

　一般的な脆弱性診断は知識や費用の面でハードルが高く、やるかやらないかという1か0かの議論になってしまう。結果的にやらないという判断になってしまえば、全く対策しないことになり、当然リスクも上がる。

　対して、VAddyは手軽に何度でも検査できるため日常的に診断できる。完璧を目指すというよりも、全く対策をしていない状態から脱するためのアプローチといえる。

　そろそろ脆弱性診断をしなくてはいけないと感じながらも、人がいない、時間が無いなどさまざまな理由で実施できない･･････という企業にとって、そんな悩みをつぶしてくれるツールがVAddyだ。

　「VAddyは無料トライアルを提供しており、ほぼ全てのお客さまが事前にVAddyに触っていただいた上で導入しています。脆弱性診断のハードルを前に悩んでいる企業は、一度トライアル版で診断をしてみてください。すぐに使えるはずです」（西野氏）

　ビットフォレストはVAddyのトライアル版提供の他にも、定期的にオンラインセミナーを開催。個別相談会は毎日実施している。脆弱性診断に悩みを抱えている企業は同社に相談してみてはいかがだろうか。