Webアプリケーション診断はどれくらいの頻度で必要？主要ガイドラインから見る実施タイミングと効果

デジタルペンテスト部でWebアプリケーション診断を担当している三宅です。

Webアプリケーションへのサイバー攻撃のリスクを低減するために、定期的なセキュリティ診断（脆弱性診断・検査）の実施が求められています。では、どの程度の頻度で診断を実施すればよいのでしょうか。そして、なぜ定期的に診断を実施する必要があるのでしょうか。

本記事では、Webアプリケーション診断の推奨される実施頻度と定期的に実施する効果についてご紹介します。

診断を実施する頻度やタイミング

セキュリティに関する各種ガイドラインには、セキュリティ診断の実施を推奨する頻度やタイミングが記載されています。今回はWebアプリケーション診断について、各種ガイドラインに記されている実施の目的と頻度・タイミングをご説明します。

JPCERT/CC

JPCERT/CCでは「Webサイトへのサイバー攻撃に備えて^※」の中で、Webサイトへのサイバー攻撃被害の回避や、低減のための点検項目を記しています。その中で、Webアプリケーション診断の実施については下記のように記載されています。

目的	自社のWebアプリケーションに脆弱性や設定の不備が存在しないか確認するため
頻度・タイミング	1年に1回程度、および機能追加などの変更が行われた時

※ JPCERT/CC｜Webサイトへのサイバー攻撃に備えて

IPA

IPAが公開する「ECサイト構築・運用セキュリティガイドライン^※」では、脆弱性対策として、運用中のECサイトに対して下記のようにWebアプリケーション診断を実施することが求められています。

目的	新たな脆弱性の発見や新たな脆弱性が作り込まれていないかの確認
頻度・タイミング	機能追加やシステム改修などが行われた時

※ IPA｜ECサイト構築・運用セキュリティガイドライン

金融庁

金融庁が公開する「金融分野におけるサイバーセキュリティに関するガイドライン^※」では、セキュリティ診断（原文では、脆弱性診断）およびペネトレーションテストの実施について、下記のように記載されています。

目的	システムの脆弱性対策やセキュリティの問題点を特定し、改善するため
頻度・タイミング	リスクの大きさやシステムの重要度等を考慮して定期的に実施

※ 金融庁｜金融分野におけるサイバーセキュリティに関するガイドライン

デジタル庁

デジタル庁が公開する「政府情報システムにおける脆弱性診断導入ガイドライン^※」では、構築時診断と定期診断の2種類が定義されており、それぞれの目的と実施基準が定められています。Webアプリケーション診断については、下記のように記載されています。

構築時診断

目的	脆弱性対策の実施内容の確認やセキュリティ品質の確保
頻度・タイミング	システム構築時や更改時

定期診断

目的	脆弱性対策が適切に実施されているかの点検や監査
頻度・タイミング	各機関の自己点検や監査計画に準ずる

※ デジタル庁｜政府情報システムにおける 脆弱性診断導入ガイドライン

OWASP

OWASPが公開する「The Web Security Testing Framework^※」は、Webアプリケーションのセキュリティ向上のためにソフトウェアライフサイクルの各段階において必要な診断、ペネトレーションテスト、コードレビューなどのセキュリティテストについて記載されています。その中で、運用段階には下記のように診断（原文では、"health checks"）の実施が求められています。

目的	新たなセキュリティリスクが発生していないこと、セキュリティ品質が維持されていることの確認
頻度・タイミング	1か月に1回、または、3か月に1回

※ WSTG - Stable | The Web Security Testing Framework | OWASP Foundation

定期的な診断を実施する効果

ここでは、なぜ定期的に診断を実施する必要があるのか、セキュリティ対策としての効果について説明します。

脆弱性の早期発見による攻撃リスクの低減

システムに重大な脆弱性が潜在していた場合、セキュリティ診断を実施することで攻撃者に悪用される前に発見や対策ができます。システムの公開前や機能追加・更新を行った際に診断を実施し、脆弱性を早期に発見することをおすすめします。また、日々新しい攻撃手法や攻撃ツールが生まれています。定期的に診断することで最新の攻撃手法や、ツールに対する防御が十分か確認できます。

セキュリティ対策コストの低減

定期的に診断を実施することで、攻撃者に悪用される前に脆弱性への対策を行えます。攻撃被害に遭う前に対策を行うことで、被害発生時に追加でかかる情報漏えいへの対応やシステムの復旧などのコストを低減でき、結果としてセキュリティ対策コストの低減につながります。また、攻撃被害に遭った場合の、ブランド毀損やシステム停止による機会損失などを防ぐこともできます。

さらに、定期的な診断の実施結果から、脆弱性が発生する原因とその傾向を分析することで、効果的なセキュリティ対策を講じられます。例えば、外部ライブラリのアップデートの未実施が原因の場合には、外部ライブラリのバージョン管理方法を見直すことで将来的な脆弱性の発生を防げます。

セキュリティ品質の維持・向上

定期的に診断を実施することで、セキュリティ品質を維持・向上できます。脆弱性の早期発見はもちろん、過去に発見された脆弱性への対策が十分に機能しているか、セキュリティ対策の実効性の確認も可能です。

加えて、診断の実施や改善の記録は監査・コンプライアンス対応の根拠として活用できます。例えば、先ほど紹介した金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」では、サイバーセキュリティ管理態勢の継続的な改善が求められています。

ラックに診断を依頼されるお客様の傾向

ご紹介した各種ガイドラインでは、具体的な頻度やタイミングが記載されているものもありましたが、各組織の計画やシステムの特性、運用環境等を考慮して診断の頻度を決定するよう記載されているものもありました。実際にシステムの規模や扱う情報の機密性によって、診断の実施頻度は異なりますが、参考として、実際にラックに診断を依頼されるお客様の診断実施のタイミングと目的について傾向をご紹介します。

ラックでのお客様から依頼される診断実施のタイミングは、「機能追加や改修時」と「年に1回の定期診断」が多いです。

機能追加や改修時の診断実施の目的は、公開可否の判断をするためです。機能追加や改修の過程で意図せず新たな脆弱性が作り込まれていないか、設定の不備がないかなど安全性を確認します。なお、診断によって見つかった問題点は修正後、必要に応じて再診断を行い、問題点が修正されたか否かを確認することを推奨しています。

年に1回の定期診断の目的は、監査・コンプライアンス対応やシステムのセキュリティ品質が維持できているかの確認が主なものです。攻撃手法が日々進化する中で、過去に安全と判断されたシステムでも新たなリスクが見つかる可能性があります。定期的な診断は、そうした変化に対応しながら、システムの安全性を継続的に確保するための重要な取り組みです。

おわりに

今回はWebアプリケーション診断について、各種ガイドラインで推奨される実施の頻度と、定期的に実施することの効果について紹介しました。定期的に診断を実施することで、脆弱性の早期発見だけでなく、攻撃手法の変化にも対応できる体制を整えられます。一方で、適切な実施頻度は組織の状況やシステムの特性によって異なります。扱う情報の機密性やサービスの公開範囲、開発・運用のサイクルなどを踏まえ、自社に合った実施基準や計画を整備することが重要です。

ラックでは、セキュリティ診断の実施だけでなく、診断の実施基準や脆弱性対応基準の策定など、脆弱性管理全体の整備も支援しています。診断の進め方や運用方法にお悩みの際は、ぜひご相談ください。

プロフィール