診断の基礎知識

セキュリティ診断を実施する前に、
立場に応じた「正しい知識」を身につけましょう

テレワークの普及などDX（デジタル・トランスフォーメーション）が進む一方でサイバー攻撃は年々増加しており、個人情報流出のニュースは後を絶ちません。近年では、中小企業へのサイバー攻撃も増加しているといわれています。大企業のセキュリティ対策の強度が上がったことで、踏み台としてセキュリティ対策を十分に講じていない中小企業が狙われているという事例も確認されています。

情報セキュリティインシデントは起きてしまえば取り返しがつきません。だからこそ、セキュリティ診断で脆弱性を検出し、しっかり対策することが求められます。そして、効果的にセキュリティ診断を実施するためには、それぞれの立場に応じた正しい知識が必要です。

ここでは、
・「マネージャー」に必要な視点
・「事業主・サイトオーナー」に必要な視点
をご紹介いたします。

「マネージャー」に必要な視点

Webアプリごとのセキュリティ要件を理解し、設計段階から考慮しましょう
マネージャーの立場から必要なことは、Webアプリケーションの設計段階からセキュリティのリスクを考慮していくことです。一概にリスクといっても、利用者と公開場所が限定される社内システムと、広く一般に公開されるECサイトなどでは求められるセキュリティ要件が異なります。

それぞれのリスクを踏まえた上で必要な対策を行い、セキュリティの穴を埋めることがマネージャーに求められます。

内部の犯行や人的ミスに備えるためにセキュリティ診断が有効な場合もあります
個人情報や金銭などの、重要な情報を取り扱うアプリケーションでは、WAF（Web Application Firewall）やIPS（Intrusion Prevention System）、IDS（Intrusion Detection System）の導入を検討するなど、しっかりとセキュリティリスクに備えることをおすすめしています。

WAFやIPS、IDSなどを導入した場合でも、二重三重の防御という点では、内部からの犯行や人的ミス、予期せぬアクセスに備えてセキュリティ診断を実施することは大切です。

マネージャーに求められることは、セキュリティ診断の対象と対策の「スコープ（範囲）」を見極めること
全てのシステムに万全なセキュリティ対策を行うことは、コスト的に難しいこともあります。そのため、保持している情報やネットワーク構成などにより、どこまでセキュリティ診断の対象とするか。また、セキュリティ診断によって脆弱性が検出された場合、脆弱性の内容とシステムが保持している情報の重さなどから、どこまで改修するか。この２つを線引きして事業主に提案することがマネージャーに求められる仕事となります。

残り2つの視点を読む

「事業主・サイトオーナー」に必要な視点

要件定義におけるセキュリティ要件は、不十分な場合があります
システム開発の要件定義フェーズで定義される一般的なセキュリティ要件は、Webセキュリティの観点から見た場合に十分ではないことがあります。

これは、あくまで開発者側が持つべきセキュリティの担保であり、外部から攻撃を受けることを想定しているわけではない場合があるからです。要件定義の段階で決めるセキュリティ要件に、外部からの攻撃や内部の不正、人為的ミスなどの観点が含まれているかを確認する必要があります。

第三者機関にセキュリティ診断を委託するか判断しましょう
セキュリティの強度を高めるために事業主・サイトオーナーができることは、第三者によるセキュリティ診断を実施するかどうかを決定することです。

第三者機関にセキュリティ診断を委託することにより、システムの運用方法や動作環境に応じた診断を実施し、攻撃者の観点から見たセキュリティの脆弱性を検出することが可能になります。

システムを改修していなくても、脆弱性が生まれることがあります
セキュリティ診断を実施するタイミングとしては、システムが完成したときはもちろん、予算が許すのであれば公開後も定期的に実施することをお勧めしています。

その理由としては、HTMLに特定の文言が追加されるだけでも新たな攻撃が成功するパターンもあることや、新しく登場した攻撃の手法に対応して診断のパターンが更新されることで、今までになかった脆弱性が検出されることがあるからです。

被害にあった場合は、然るべき対応を取ることが求められます
事業主・サイトオーナーに一番求められることは「セキュリティ事故やインシデントがあっても隠蔽しない」ということです。たとえ大した被害のない事故でも、過去をさかのぼって調査すると被害件数が増えることもありますし、何よりも他社が同じような被害に遭わない保証もないのです。

そのため事件というには小さなことだと思っても、IPA（独立行政法人情報処理推進機構）などの公共機関に情報を共有することが何よりも大切です。

残り3つの視点を読む

セキュリティ診断は絶対に必要？
必要になるケースをご紹介します

中小企業だから不要？その考えは危険です

「うちは中小企業だから大した情報も扱っていないし、狙われることもないんじゃないの？」というご意見もたまに伺います。しかし、セキュリティが甘い中小企業が大企業の情報を盗むための踏み台とされたり、会社の規模関係なくサーバーを立てた数秒後に海外から不正アクセスがある事例も発生しています。
たとえ重要な機密情報も持っていない、アクセスの少ないサイトでも、会社の顔といえるコーポレートサイトが改ざんされたらいかがでしょうか？ SNSなどで改ざんが拡散されてしまうと、あっという間に社会的信用を失ってしまうケースもあります。

こんなケースは診断を行いましょう

「やらないよりはやった方が良いとは思うけれど、時間とコストを考えると全てのWebアプリケーションに対してセキュリティ診断を実施することは難しい」という方に向けて、参考程度ですがセキュリティ診断を実施した方が良いケースを紹介いたします。

1.金銭やポイント、個人情報を扱う場合
2.コーポレートサイトなど、改ざんされると信頼性が低下してしまう場合
3.入力項目がある場合
4.新しく構築した、あるいは一部改修をした場合

入力項目があるWebアプリケーションでは、第三者が不正なコードを打ち込む恐れがあるので、ハッキングや改ざんのリスクが高まります。そのため金銭や個人情報を扱っていない場合でもセキュリティ診断をしておくことをお勧めしています。

他にも、さまざまな情報を発信しています

このページで紹介したこと以外にも、当サイトのブログではWebセキュリティ診断に関する情報を発信しています。ご興味がある方は、ぜひご覧くださいませ。

ブログはこちら

セキュリティ診断を実施する前に、立場に応じた「正しい知識」を身につけましょう