セキュリティ診断の内製化をラックが勧める理由

新年度になり、自組織のセキュリティ方針を検討し始める担当者も多いことでしょう。年々高度化・複雑化するサイバー攻撃に備えるには、自組織に潜むリスク（脆弱性）を的確に把握し、管理することが重要です。

そのためにラックがお勧めする方法の一つが、セキュリティ診断の内製化（内製診断^*）です。ラックでは、『セキュリティ診断レポート 2019 冬』（2019年12月発行）で「セキュリティ診断内製化による脆弱性管理のススメ」とする特集を組み、内製診断のメリットや進め方を詳しく紹介しました。ラックが内製診断を勧める理由や内製診断がうまくいく組織・いかない組織の違いなどについて、特集記事を執筆したセキュリティ診断センターの久原和起と秋田裕介に聞きました。（聞き手はラック広報）

*「診断の内製化」と「内製診断」
「診断の内製化」は外部ベンダーに委託しているセキュリティ診断（＝外部委託診断）を自前での実施に切り替えることを指しますが、最初から自前での実施を検討する組織があることも念頭に、本稿では両方のケースを総称して「内製診断」とします。

プロフィール

診断対象、「重要システムだけ」から「全資産」の時代に

──内製診断に関する問い合わせが近年増えているそうですね。どのような背景があるのでしょう。

 秋田  顕著に増えたのは、2018年7月に現行の「サイバーセキュリティ戦略」が閣議決定されてからです。この時は幅広い業種からの問い合わせだったのですが、2019年に入って金融機関からの相談が急増しました。金融庁から、全ての資産に対してセキュリティ診断を実施するようにといった内容の通達が出たためだと思われます。

 久原  そういった社会的要請に加えて、ビジネス環境の変化、つまりビジネスの高スピード化の影響も大きいですね。最近だと開発期間が1～2週間程度と、ごく短い開発サイクルが増えています。セキュリティ診断を外部委託すると1～2カ月はかかりますから、スピード感が全く合いません。それで、自前で診断ができる環境を整えたいという組織が増えています。

 秋田  IoTの進展によって診断対象数が増えたことも一因として考えられます。全てを外部委託診断にとなるとコストがかさみますから、内製診断への関心が高まっているのではないでしょうか。

──ラックは外部委託診断も請け負っているのになぜ内製診断を勧めるのでしょう。

 久原  セキュリティ技術者が手動で行う外部委託診断と、診断ツールを用いてお客さま自身が実施する内製診断とでは、果たす役割が違います。私たちが提案したいのは内製診断を活用して組織全体のセキュリティを底上げしませんか、ということです。

──セキュリティの底上げとは？

 久原  重要システムに関しては適切なリスク評価がなされていても、それ以外は開発ベンダーのセルフチェックで済ませている組織は案外多いものです。しかし、「重要と認識されていない」システムの中にもデータベースと間接的に連携しているものがあり、脆弱性が狙われて被害に遭うケースも実際に出ています。サイバー攻撃の高度化・複雑化によって、従来はリスク評価の対象外だったシステムについてもリスクを把握しようという風潮は高まっています。

──重要システムは「氷山の一角」だというわけですね。

 久原  その通りです。重要と認識されていないシステムの中には、そもそも「見えていない」ものもあり、これらをリスク評価するに当たって力を発揮するのが診断ツールです。広い範囲を検査できるだけでなく、ネットワーク上にありながら「見えていない」、つまり"水面下"に隠れているシステムを洗い出す機能があるからです。

 秋田  脆弱性は毎日50個ほど出現しており、年1回程度の外部委託診断では発見が遅くなる場合があります。そこで私たちは、日常的な検査は診断ツールで実施し、その上で年1回程度、外部委託診断することによって、より詳細な検査を行うことを推奨しています。役割の違う二つの診断を組み合わせることで、仮に危険度の高い脆弱性が見つかったとしても重大なインシデントへの発展を防ぐことができます。

──掃除に例えると、日々の掃除機かけや雑巾がけは自分たちで行い、年1回の大掃除は専門業者に依頼するということですね。

成功の決め手は「何を目的とするか」

──内製診断がうまくいく組織、うまくいかない組織の分かれ目は何でしょうか。

 久原  何を目的とするかによります。「全資産の脆弱性をゼロにすること」を目的とすると大体失敗します。脆弱性をゼロになんてできないからです。

一方、「日々新しく出現する脆弱性を日常的に把握し、管理できる状態にすること」、つまり「脆弱性管理」を目的とするなら、うまくいく可能性が高いと言えます。検出された脆弱性を管理する際、優先順位を付けて対応するもの・しないものを決めます。対応しない場合はそのリスクをどう管理するかなど、リスクの度合いに応じて組織として判断していく必要があります。

 秋田  その意味でも、経営トップのセキュリティに対する理解は非常に重要です。私の経験からも、「とにかくやれ」といったトップの抽象的な号令で内製診断を始めたところは、残念ながらうまくいかないケースが多かったですね。

 久原  経営層に理解がないと、セキュリティ担当者は経営層の要求と実際の運用の間で板挟みになりがちです。このような場合はラックが間に入り、組織にとって望ましいリスクマネジメントが実現するよう、経営層にもアドバイスしていきます。

──脆弱性管理の必要性は理解しても、いざ自前で実施するとなるとハードルが高いと考える組織は多そうです。

 久原  簡単でないことは確かです。外部委託診断を実施したことのある担当者なら診断の進め方や結果の見方は把握しているでしょうが、そうでない担当者だと何から手を付ければいいか分からないでしょう。

そういうときこそ私たちの出番です。「まずはここまでやりませんか」と、当面の目標と中長期的なゴールを決めるところからご支援します。当面の目標が「インターネットに公開されている全てのサーバーを診断すること」となれば、「サーバーの台帳はありますか」「関係部門との調整はこのように進めましょう」など、いつまでに何を実施すればいいかをラックが設定し、ゴールまできめ細かくサポートします。最終的には、お客さまが自分たちだけで実施できるようになるところまで、セキュリティ人材の育成支援も含めて手厚くフォローします。

内製化の「支援」に重点を置くようになった理由

──それまでのサービス名称「プラットフォーム診断セルフ」（「セルフ」）を2018年12月から「内製化支援」に変更したのも、その辺りと関係がありそうですね。

 久原  はい。「セルフ」では診断ツールの販売と製品サポートを行っていたのですが、セキュリティの専門チームを持っているような大企業以外は運用がうまくいっていないところが多かったのです。

「脆弱性が検出されすぎて、どれから対応すればいいのか分からない」
「担当者が代わり、何のために内製診断をやっているのか分からない」
「診断ツールは回しているものの、何も対応できていない」

このような悩みに応えるため、内製化の「支援」に力点を置くことにしました。

診断の実施から脆弱性管理までのステップや考え方を『セキュリティ診断レポート 2019 冬』で詳しく解説したのも、内製診断を実施中の、また今後の導入を検討している組織の参考になるようにとの思いからです。

──お客さまが自前で脆弱性管理ができるようになるまでには、何年ぐらいかかるのですか。

 秋田  2、3年が目安です。診断ツールの操作だけなら2年もあればできますが、難しいのが、検出された脆弱性の見方やリスクに応じた優先順位の付け方です。

脆弱性が見つかったからといって、必ず対策をしなければならないわけではありません。影響が限定的な場合や、他のセキュリティ機器でカバーできている場合は、リスクを正しく認識した上で受容するという考え方もあります。

 久原  検出された脆弱性への対応の要否もラックが支援しますので、3年もすればお客さま側で判断できるようになります。

──ほかに、内製診断ならではの難しさにはどういうものがありますか。

 久原  誤検知の扱いです。セキュリティベンダーが実施する手動診断では、検出された脆弱性のうち再現性のあるものだけをお客さまに報告しますが、内製診断の場合はどれが誤検知で、どれが対応すべき脆弱性かを、お客さま自身で見分ける必要があります。

 秋田  最初は大変でも、継続するうちに効率的な管理ができるようになります。というのも、検出される脆弱性にはお客さまごとに傾向や特徴があり、運用していくうちに脆弱性の対応方法や、脆弱性を作り込まない構築方法のノウハウ・情報が蓄積されていくからです。

 久原  ただ、標的型攻撃などで新しい攻撃手法が出現したときは、ぜひ私たち専門家にご相談いただきたいですね。「何を心配しなければならないか」「最近の攻撃の傾向は」など、組織の環境も踏まえた的確なアドバイスをするようにしています。

診断ツールで脆弱性の管理・運用を楽に

──ラックが扱っている診断ツール（3種類）はどういう観点で選定していますか。

 久原  グローバルシェアや検出精度はもちろんですが、ユーザーにとっての使い勝手の良さを重視しています。内製診断の目的は診断をすることではなく脆弱性を管理することですから、管理のしやすさは大事です。

最近の診断ツールは管理機能も充実していますし、運用を楽にする機能も実装されています。先にお話ししたネットワーク上の見えていないシステムを検出する機能もそうですし、サーバーの設定情報が確認できる機能もあります。

 秋田  安易なパスワードが設定されていないか、公開すべきではないファイルに外部からアクセスできる状態になっていないかなどをチェックする機能もありますね。最近はクラウドにも対応していて、クラウドの設定をチェックして不備を洗い出し、推奨する対策案の提示までしてくれます。

──内製診断に向くのはどのような組織でしょうか。

 久原  システム数が多く、開発を頻繁に行っている組織です。外部委託診断は診断規模や診断頻度などに応じてコストが高くなるからです。

このほか、グローバル展開していたり吸収合併を繰り返したりしている企業や、子会社が多い企業も内製診断をお勧めしています。本体はセキュリティ対策がしっかりなされていても、合併した企業や子会社は不十分な状態だということが往々にしてあるのです。

──内製診断にするとコストが抑えられると期待するお客さまも多そうです。

──最後に、内製診断も検討に加えてみようかとお考えの方に向けて一言、メッセージを。

 久原  近年の傾向として、システム開発の上流工程でセキュリティを考慮しようという「シフトレフト」の考え方が浸透してきています。この機会に、組織としてのリスク管理の強化とセキュリティの底上げに内製診断の活用をご検討ください。

 秋田  内製診断と一言で言ってもお客さまによってゴールは千差万別です。ラックは、お客さまが実現したい目的に対して最適な結果が出せるよう、きめ細かく支援していきます。どんな小さなことでも遠慮なくご相談ください。