SNSでシェア
脆弱性診断の結果を受け取ったあとの対応
「うちのシステム、大丈夫かな?」そんな不安を抱えているWebサイト運営者の方も多いのではないでしょうか。サイバー攻撃は常に企業や組織にとって大きな脅威となっています。情報漏えいやシステム停止といった事態を引き起こす可能性があり、企業の評判や収益に深刻な影響を与える恐れがあります。そのようなリスクを低減するため、システムに潜むセキュリティ上の問題点を発見するのが、脆弱性診断の役割です。
本特集では、Webサイトのセキュリティ対策において不可欠な「脆弱性診断」に焦点を当て、実際に脆弱性診断サービスを提供する現場で、診断案件の調整を行う担当やエンジニアへのインタビューを通じて、脆弱性診断サービスを検討されている方の抱える疑問や課題解決に役立つ情報を紹介します。
※本記事は、SSTが提供する脆弱性診断サービス(Webアプリケーション診断やプラットフォーム診断)を基にしています。世の中にはさまざまな脆弱性診断サービスや手法が存在し、他社製品も含めて多様なアプローチがあります。本記事の内容が全てのケースに適用されるわけではありません。安全なWebサイト運用の参考としてご活用いただければ幸いです。
今回のテーマは、「脆弱性診断の結果を受け取ったあとの対応」についてです。脆弱性診断サービスは、診断結果を得るだけでなく、その後の改修が重要です。「診断報告書を受け取った後、どのような対応をしたらいいのか」といった疑問に対して、少しでも役に立つヒントをお届けします。SSTの脆弱性診断の計画から実施、アフターフォローまでを担当しているメンバーにインタビューし、お客様の傾向や事例を交えて紹介します。
脆弱性診断は「健康診断」のようなもの
Q. 診断報告書の捉え方とは?
まず強調したいことは、脆弱性診断は「健康診断」のようなものであるという事です。つまり、診断報告書はシステムの健康診断結果といえるわけです。健康診断で、ある項目に異常が見つかったとしても、それが必ず深刻な病気につながるというわけではありません。同様に、脆弱性診断の結果は、脆弱性診断でリスクの高い項目が指摘されたとしても、それがシステムの致命的な欠陥を意味するのか、そうでないのかを見極めて適切に対処するための情報に過ぎないということです。
診断報告書は、システムの現状を客観的に把握するための道具であり、その結果を基に、適切な対策を講じるための情報源です。「診断報告書に脆弱性が記載されている=システムが危険」という単純な図式で捉えるのではなく、診断結果を冷静に分析し、優先順位をつけて対策を進めることが重要です。診断報告書を単なる評価として捉えるのではなく、より安全なシステムを構築するための貴重な情報源として活用することで、診断の価値を最大限に引き出すことができると思います。
Q. 診断報告書の活用方法が知りたい!
診断結果=診断報告書を最大限に活用するためには、事前に社内でのプロセスや判断基準を整備しておくことがカギです。以下のポイントを準備しておくことで、診断報告書を効果的に活用し、安全なシステムを構築するための第一歩となります。
- 社内での判断基準を明確にする:どの程度の脆弱性を優先的に修正するか、具体的な基準を定めておくことが重要です。例えば、広く利用者に影響を及ぼす脆弱性については早急に対応するが、特定条件でのみ発生する脆弱性については優先度を下げるなどです。これにより、診断結果を元にどの問題から手をつけるべきかが明確になります。
- 対応の優先順位を決める:すべての脆弱性を一度に修正するのは難しいため、リスクの高い脆弱性から順に対応するといった優先順位を設定しておきましょう。
- 担当者を明確にする:診断結果の分析、対策の実施、継続的な監視など、それぞれのプロセスについて担当者を決めておくことで、責任の所在が明確になり、スムーズな対応が可能になります。
お客様の活用事例としては、診断結果をもとに社内で勉強会を実施し、脆弱性の修正や情報共有を進めるケースがあります(参考事例:「脆弱性診断をトリガーに、社内セキュリティ意識向上を高める積極的なスタンス」)。また、診断結果をもとにチケットを作成し、タスクとして管理しながら改修作業を行う方法もあります。みなさま、診断結果を起点にトレーニングを行い、日常的なコミュニケーションを通じて全社的なセキュリティ意識の向上を図っています。
脆弱性診断を受けただけでは終わらない!肝心なのは診断後の対応
Q. 診断後に多く寄せられるご質問
お客様から寄せられる質問のひとつは、「報告書に記載された推奨対策と異なる方法で対策を実施したけど、対策として問題ないか」というものです。SSTでは、診断後のQAサポートを期間限定で行っているため、お客様が実施した対策の妥当性や診断報告書に関する各種お問い合わせを受け付けています。
つぎに「脆弱性が再現できないので、再現手順を詳しく教えてほしい」という質問です。 脆弱性を再現するために不可欠なプロキシツール「Burp Suite」の設定が、お客様にとってハードルになってしまうことがあります。
お客様が手元で脆弱性を再現する上で、必要になるのが「Burp Suite」をはじめとするプロキシツールです。SSTでは、エンジニアブログで「Burp Suite」の操作方法を公開しており、お客様にはこちらを参考にしながら、再現を試していただくよう案内しています。
Q. 再診断は活用されているのか?
はじめに、再診断とは問題のある箇所に対して脆弱性診断後に改修が適切に行われたかを確認するための追加診断のことです。なお、再診断の実施内容や条件はベンダーによって異なるため、契約時に確認することをおすすめします。
SSTでは、診断を完了してから3か月以内の再診断(1回)を無償で行っています。SSTのWebアプリケーション診断における再診断は、危険度「Medium」以上の脆弱性を対象としております。再診断の結果、改修が不十分なケースもありますが、多くのお客様が再診断を活用しており、直近6年間の実施率は約4割程度です。以前は、再診断のご案内に対して積極的なご回答をいただけないケースもありましたが、近年はセキュリティ対策に対する意識の高まりからか、再診断を積極的に活用されるお客様が増えてるように感じます。
診断結果に基づき改修された後、再診断を依頼されるのが理想です。しかし、無償再診断期限の3か月に改修が間に合わず、次回の診断に回されたり、有料オプションで実施されることもあります。
ときには再診断の結果、脆弱性が残存していることを報告しなければならないこともありますが、より多くのお客様が再診断を活用して、診断後の本質である脆弱性の改修を着実に進められるよう、私たちもサポートしていきたいです。
Q. 診断結果に関する印象的なご相談
非常に稀なケースですが、診断結果報告書に記載された脆弱性について、お客様の運用状況や業務フローを加味して、報告書から記載の削除や変更を求められた経験があります。お客様のご意向も理解できますが、診断結果は客観的な事実を基に作成されており、一度発行された報告書の内容を変更することは、診断の信頼性を損なうため、基本的に対応しておりません。
また、別のケースでは「他社の診断結果と比較して、同じ基準で診断してほしい」というご依頼を受けたことがあります。脆弱性診断といっても、診断ベンダーごとに診断項目や手法が異なるため、同じシステムでも異なる結果が出る場合があります。要因としては、診断対象のシステムの複雑さや、各ベンダーが採用しているセキュリティ基準の違いなどが挙げられます。重要なのは、お客様にそれぞれのベンダーの診断方法や基準の違いを理解していただくことです。複数の診断ベンダーの診断結果を比較することで、より多角的な視点からシステムの脆弱性を把握し、より効果的な対策を立てることができる場合もあります。なかには、定期的に診断ベンダーを変更されるお客様もいらっしゃいます。
しかしながら、診断を利用されるお客様にとって、複数の診断ベンダーのサービスを比較することは容易ではありません。各診断ベンダーの強みやアプローチ、そして診断結果の解釈方法などを十分に理解した上で、自社のシステムに最適な診断ベンダーを選択することが重要だと考えます。
押さえておきたい!ポイント
さいごに、下記ポイントを押さえて、脆弱性診断の結果を受けたあとの対応について理解を深めましょう。本記事が、皆さまの安全なWebサイト運用に少しでも役立つことを期待しています。
知っておきたいこと
- 診断報告書は事実の記録
- 診断報告書は検出された脆弱性を正確に記録したものであり、内容変更や脆弱性の削除要請には応じられません。報告書の内容を正確に把握し、対策を講じることが重要です。
- 診断基準は会社ごとに異なる
- 他社の診断結果と完全に一致することはありません。各社の診断基準や手法の違いを理解し、自社に最適な対策を立てることが大切です。
- 診断報告書を「健康診断結果」と捉える
- 脆弱性診断報告書はシステムの現状把握と改善のための情報源です。絶対評価ではなく、改善のための参考情報として活用しましょう。
やっておきたいこと
- 再現手順の理解を深める
- 再現手順やプロキシツールの使用方法を把握することで、脆弱性の本質的な理解が進みます。詳細な再現手順を確認し、実際に再現することが有効です。
- 再診断を活用する
- 問題のあった箇所は改修後の確認を確実に行いましょう。再診断の活用は、改善状況を確認するために重要です。
- SSTの脆弱性診断を利用した場合は、診断終了後の無償再診断(1回)を活用し、改修後の確認を確実に行いましょう。
- 脆弱性診断前に、社内での「判断基準」「対応の優先順位」「担当者の明確化」など診断後の対応の準備を行う
- 診断結果を最大限に活用するためには、リスクと対応コストを考慮して計画的に対処することがカギとなります。
- 長期的な視点でセキュリティ向上を図る
- 定期的な診断実施や診断結果の蓄積を通じて、長期的なセキュリティ改善計画を立てることができます。継続的な対策がセキュリティの向上につながります。
※本記事は、SSTが提供する脆弱性診断サービス(Webアプリケーション、プラットフォーム診断)を基にしています。さまざまな脆弱性診断サービスや手法が存在し、他社製品も含めて多様なアプローチがあります。本記事の内容が全てのケースに適用されるわけではありません。安全なWebサイト運用の参考としてご活用いただければ幸いです。
取材協力メンバー
田代(プロジェクト推進チーム)
大田(プロジェクト推進チーム)
篠原(プロジェクト推進チーム)
※SSTのプロジェクト推進チームは、お客様のニーズに合わせた脆弱性診断の計画から診断の実施、報告書の提出、その後のアフターフォローまで一貫してサポートします。
- SNSでシェア
