「脆弱性診断は、どれくらいの頻度で実施すればいいの?」
「年1回では不十分なのか、ガイドラインではどう定められているのか知りたい」
Webサイトやシステムへのサイバー攻撃は年々巧妙化しており、脆弱性を放置すると情報漏洩やサービス停止など深刻なトラブルにつながるおそれがあります。適切な頻度で脆弱性診断を行うことは、企業のセキュリティ対策において欠かせない取り組みです。
しかし、実際には「どのタイミングで実施すべきか」「年に何回行えば十分なのか」といった疑問を抱える担当者が多いのも事実です。
そこで本記事では、脆弱性診断の頻度について以下の内容を解説します。
- 推奨される基本的な頻度と理由
- 各ガイドラインにおける基準
- 診断を実施すべき具体的な4つのタイミング
- 診断の負担を減らすツールの活用法
本記事を読むことで、自社のシステムに適した診断スケジュールを理解できるでしょう。セキュリティ体制を強化し、安心してサイトを運営したい方は、ぜひご一読ください。
脆弱性診断の推奨頻度は「年1回以上」が基本
Webアプリケーションの脆弱性診断は、目安として「1年に1回以上」行うことが推奨されています。これは、日本の情報セキュリティ対策を支援するJPCERT/CCが公開している『Webサイトへのサイバー攻撃に備えて』というガイドラインの中でも示されている目安です。
しかし、近年は攻撃スピードや複雑性が高まり、年1回の診断では追いつかないケースも増えています。脆弱性情報は日々更新されているため、定期的に診断し、必要に応じて対策を進めることが重要です。診断の間隔が空いてしまうと、気付かないままリスクを抱え続けることになり、被害につながる可能性が高まってしまいます。
とはいえ、外部ベンダーに依頼するだけでは、診断の機会を増やそうとしてもコストや納期の面で限界が生じる場合もあります。そこで、自社で日常的にリスクを確認できるよう、脆弱性診断ツールの導入を検討する企業が増えています。ツールを併用すれば、診断頻度を高めつつ、運用負荷の軽減や早期発見につなげやすくなります。
このように、年1回以上という基準はあくまで最低ラインです。実際には企業のシステム規模や開発サイクルに合わせて、より短い周期で診断を行うことが望まれます。
定期的に脆弱性診断を実施すべき理由
脆弱性診断は一度実施して問題がなかったからといって、その後もずっと安全が保証されるわけではありません。Webサイトやシステムを取り巻く環境は常に変化しており、昨日まで問題なくても、今日は危険な状態になっていることも十分にあり得るためです。
具体的には、主に以下の2つの理由から定期的な実施が必要とされています。
- サイバー攻撃が高度化・多様化しているため
- システム更新・構成変更により新たな脆弱性が発生するため
サイバー攻撃が高度化・多様化しているため
サイバー攻撃の手口は、日々進化を続けています。一度問題ないと診断されたシステムであっても、新しい攻撃手法が生み出されることで、対策を突破されるケースは珍しくありません。
最近では、生成AIがフィッシング文面作成や調査の効率化などに悪用される事例も報告されています。生成AIを使うことで、攻撃者はより効率的かつ高速にサイバー攻撃を仕掛けられるようになっています。人間が手動で行っていた作業が自動化されるため、短時間で大量の攻撃が可能になり、脅威はこれまで以上に高まっているといえるでしょう。
このように、攻撃手法が高度化・多様化している環境下では、一度の診断で安心することはできません。定期的な脆弱性診断を行い、常に最新の攻撃に対応できる防御体制を維持することが不可欠です。
システム更新により新たな脆弱性が発生するため
WebサイトやWebアプリケーションに機能を追加したり修正したりすると、意図せず新たな脆弱性が生まれることがあります。コードの書き換えや設定の調整によって、外部から攻撃されやすい状態になるケースは珍しくありません。更新作業は改善のために行われますが、同時にセキュリティ面でのリスクを引き起こす可能性も含んでいます。
特に最近では、DXの流れを受けて、システムの改修頻度が増えています。新しい機能をリリースするスピードも速くなっているため、その分だけリスクが発生するタイミングも多くなりました。したがって、システムに重要な変更を加えるたびに診断を行い、安全性が保たれているかをチェックすることが大切です。
各ガイドラインにおける脆弱性診断の頻度の考え方
セキュリティ対策を推進する公的機関や業界団体は、推奨される頻度やタイミングを示したガイドラインを公開しています。
自社のシステムをどの程度のペースでチェックすべきか迷ったときは、これらの基準を参考に計画を立てるとよいでしょう。国内でよく参照される主要なガイドラインは、次の4つです。
- JPCERT/CC
- IPA(独立行政法人情報処理推進機構)
- デジタル庁
- PCI-DSS
JPCERT/CC
JPCERT/CCは『Webサイトへのサイバー攻撃に備えて』の中で、点検項目ごとに推奨される実施頻度を紹介しています。サイバー攻撃による被害を防ぐ、あるいは最小限に抑えるためには、それぞれの目的に合わせたペースで確認を行うことが大切です。
以下に、Webアプリケーションを含むWebサイトの安全性を確認するための点検項目と、それぞれの推奨頻度をまとめました。脆弱性診断に該当するものは③です。
| 点検項目 | 目的 | 対象 | 頻度 |
| ①利用製品のバージョン確認(プラグイン等含む) | 既知の脆弱性を悪用した攻撃を回避する | Webサーバ 運用管理用PC |
数週間~1ヶ月に1回 |
| ②Webサーバ上のファイル確認 | 改ざんや不正作成ファイルの有無を確認する | Webサーバ | 週1回 |
| ③Webアプリケーションのセキュリティ診断 | 脆弱性や設定不備の有無を確認する | Webアプリケーション | 年1回+機能変更時 |
※参照:JPCERT/CC『Webサイトへのサイバー攻撃に備えて』より一部抜粋
この指針によると、Webアプリケーションの脆弱性診断は「最低でも年に1回」行うべきだとされています。また、システムに新しい機能を追加したり変更を加えたりした際も、その都度診断を実施するのが基本です。
一方で、ファイルの改ざんチェックなどはもっと短い間隔で行う必要があり、項目によってメリハリをつけて管理することが求められています。
IPA
IPA(独立行政法人情報処理推進機構)では、『ECサイト構築・運用セキュリティガイドライン』の中で、ネットショップなどを安全に運営するための具体的な対策頻度を示しています。脆弱性診断についても具体的な目安が示されており、継続的な安全性を維持するために頻度を意識した運用が求められます。
ECサイトへの脆弱性診断を定期的及びカスタマイズを行った際に行い、見つかった脆弱性を対策する。
【頻度】
プラットフォーム診断:少なくとも四半期に1回程度
Webアプリケーション診断:新機能の開発・追加やシステム改修等を行ったタイミングで実施
※引用:IPA『ECサイト構築・運用セキュリティガイドライン』
ECサイトの安全を守るためにも、推奨頻度に従って診断を実施しましょう。
デジタル庁
デジタル庁が策定した『政府情報システムにおける脆弱性診断導入ガイドライン』では、診断を実施すべきタイミングを「構築時」と「定期」の2種類に大きく分類しています。
「構築時診断」とは、新しくシステムを作った際や機能を追加したときに、一般公開する前に行う検査です。一方で「定期診断」は、すでに運用しているシステムに問題が生じていないかを確認するために、計画的に繰り返し実施するものと定義されています。
具体的な回数(年に何回など)の指定はありませんが、各組織の計画に基づいて継続的に実施することが求められます。
このガイドラインで特徴的なのは、毎回同じ条件で検査するのではなく、診断する範囲や依頼する業者、使用するツールなどを固定化しないことも検討するよう示している点です。視点を変えることで、これまで見落としていたリスクを発見しやすくする狙いがあります。
PCI-DSS
PCI-DSSとは、クレジットカード利用者の大切な情報を守るために作られた、カード業界における世界的なセキュリティ基準です。
『PCI DSS v4.0』では、要件に応じて四半期ごとの脆弱性スキャンが求められています。つまり、3ヶ月に1度は必ずシステムを検査し、安全性が保たれているかを確認する必要があるのです。
また、定期的なスケジュールだけでなく、ネットワークの構成を大きく変えた際などにも追加で診断を行うよう定められています。
脆弱性診断を実施すべき4つのタイミング
セキュリティ対策において、診断を行うべき重要な節目がいくつか存在します。具体的には、以下の4つのタイミングでの実施が推奨されています。
- 新規のWebサイト・アプリケーションの公開前
- システムの仕様変更や機能追加時
- 年次・四半期などの定期診断
- 新たな脆弱性情報が公開されたとき
新規のWebサイト・アプリケーションの公開前
新しく開発したWebサイトやWebアプリケーションを公開する前は、必ず脆弱性診断を実施しましょう。見た目の動作に問題がなくても、攻撃に利用されるような設定ミスやコード上の不備が潜んでいるケースは少なくありません。
もし診断を行わないまま公開してしまうと、リリース直後に不正アクセスを受け、情報漏洩や改ざんなどの重大な事故につながるおそれがあります。問題が発覚すると、顧客への影響が広がるだけでなく、ブランドイメージの低下をもたらす可能性もあるほか、復旧にかかるコストも増大します。安全な状態でサービスを立ち上げるためにも、公開前の診断は欠かさず実施すべき重要なプロセスです。
システムの仕様変更や機能追加時
既存のシステムに機能を追加したり、大幅な改修を行ったりした場合は、その変更が新たな脆弱性を生んでいないか確認しましょう。改修箇所が多いほど、予期しない不具合が潜んでしまう確率が高まります。
開発の現場ではリリースサイクルが短縮され、変更が重なるケースも増えています。頻繁な更新が続くと、その分だけ脆弱性が混入するリスクが大きくなるため、都度診断を行うことが重要です。変更内容が小規模であっても影響範囲は広がる場合があるため、仕様変更のたびに安全性を確かめることが欠かせません。
年次・四半期などの定期診断
システムに大きな変更を加えていない場合でも、定期的な脆弱性診断は欠かせません。サイバー攻撃の手口は絶えず進化しています。時間の経過とともにリスクが生まれる可能性があるため、定期診断によって脆弱性がないか把握する必要があるのです。
取り扱っている情報の重要度やリスクに合わせて、「1年に1回」や「四半期に1回」といったルールを決め、計画的に診断を実施することが推奨されます。定期的なチェックを習慣にすることで、常に安全な状態を維持し続けることができるでしょう。
新たな脆弱性情報が公開されたとき
使用しているソフトウェアやOSに関して、新たな脆弱性の情報がニュースなどで公開されたときも、診断を行うべき重要なタイミングです。特に世間を騒がせるような重大な欠陥が見つかった場合は、自社のシステムがその影響を受けるかどうかを、いち早く確認しなければなりません。
もし脆弱性情報の把握や初動対応が遅れてしまうと、修正プログラムが提供される前に攻撃を仕掛けられる「ゼロデイ攻撃」の被害に遭うおそれがあります。そのため、危険な情報が見つかった際には、次の定期診断を待つことなく、すぐに検査を行って安全を確保するようにしましょう。その後、修正プログラムが提供された場合は速やかに適用し、必要に応じて設定変更などの暫定対策を行うことで、被害の発生を抑えられます。
▼関連記事
定期診断に役立つ脆弱性診断ツール
定期的な診断を行ううえで大きな助けとなるのが、自動でセキュリティチェックを行ってくれる「脆弱性診断ツール」です。ツールを導入することで、一定範囲の検査を高頻度で回しやすくなります。
もし診断を外部ベンダーへ依頼する場合、年度末である3月ごろは予約が集中する場合があり、希望する時期に実施できないケースが少なくありません。しかし、ツールを活用して自社内で診断を行えるようになれば、業者の繁忙期に左右されることなく、必要なタイミングで確実に検査を進められます。
特にクラウド型の自動診断ツールであれば、定期的なスキャンを低コストで実行できる場合もあるため、予算を抑えながら継続的に安全対策を行いたい場合に有効です。継続的な安全性確保のために、ツール導入を検討するとよいでしょう。
▼関連記事
脆弱性診断の時間短縮・高頻度化に成功した事例
外部ベンダーに診断を依頼していた大手エンターテインメント関連企業A社(従業員数約3,500人(連結))では、年々運営するWebサイトが増えるにつれ、費用と工数がかさんでしまうことが大きな悩みとなっていました。社内での承認手続きやベンダーとの契約に手間がかかり、依頼してから診断が始まるまでに1〜2ヶ月かかるケースもありました。
そこで、技術者以外でも運用可能なUI/UXである診断ツール「AeyeScan」を導入。診断にかかる工数・時間の大幅な削減に成功し、以前は1ヶ月以上かかっていたプロセスが、わずか2〜3日で完了するようになりました。また、追加コストの発生を回避するため、なるべく再診断にならないよう入念に行っていた事前準備の手間も、気軽にツールでチェックできるようになったことで、以前の10分の1程度まで削減されました。
結果として、コストを抑えながら診断の頻度を増やすことができ、お客様IDや個人情報等を扱うサイトだけでなく、セキュリティリスクの低いプロモーションサイトなどでも安全性を確認できる環境が整いました。現場主導で定期的な診断を行えるようになったことで、セキュアなWebサイト運用を実現しています。
▼関連記事
技術者以外でも使えるAeyeScanで現場主導の高頻度な診断を実現。診断工数1/10で叶える理想のWebセキュリティ
まとめ|自社に適した頻度で脆弱性診断を実施し、セキュリティ体制を強化しよう
脆弱性診断は、基本的に「1年に1回以上」の実施が推奨されています。しかし、サイバー攻撃の手口は日々進化しているため、状況に合わせて柔軟に対応しなければなりません。
特に、システムの更新時や新しい脆弱性が見つかった際など、適切なタイミングで検査を行うことが重要です。本記事で解説した以下の4つのタイミングを意識しておきましょう。
- 新規のWebサイト・アプリケーションの公開前
- システムの仕様変更や機能追加時
- 年次・四半期などの定期診断
- 新たな脆弱性情報が公開された時
しかし、頻繁に診断を行うとなると、費用や手間の負担が大きくなってしまうのが悩みどころです。そこでおすすめなのが、自社で手軽に扱える脆弱性診断ツールの導入です。
クラウド型診断ツール「AeyeScan」なら、AIを活用して自動で高精度なチェックが可能です。外注するよりもコストを抑えられ、いつでも好きなタイミングで診断できるため、常に最新のセキュリティ状態を維持しやすくなります。効率よく安全対策を強化したい方は、ぜひAeyeScanの資料をチェックしてみてください。
