主要なガイドラインでは、最低「年1回以上」の定期診断と、システム変更時の随時診断を推奨しています。主に参照されるガイドラインは「JPCERT/CC」「IPA」「デジタル庁」「PCI-DSS」の4つです。
- JPCERT/CC
Webアプリケーションの脆弱性診断は「年1回+機能変更時」の実施を推奨している。 - IPA(独立行政法人情報処理推進機構)
プラットフォーム診断は「少なくとも四半期に1回」、Webアプリケーション診断は「新機能の開発・改修時」に実施するよう定めている。 - デジタル庁
診断タイミングを「構築時診断」と「定期診断」の2種類に分類している。具体的な回数の指定はなく、各組織の計画に基づいた継続的な実施を求めている。 - PCI-DSS
クレジットカード業界の国際的なセキュリティ基準で、『PCI DSS v4.0』では四半期ごと(3ヶ月に1回)の脆弱性スキャンを義務付けている。ネットワーク構成の大幅な変更時にも追加診断が必要。
自社が準拠すべき基準や扱う情報の重要度に応じて、上記のガイドラインを参考に適切なスケジュールを策定しましょう。
各ガイドラインの詳細については「各ガイドラインにおける脆弱性診断の頻度の考え方」をご覧ください。
