昨今、インターネット上に公開しているIT資産の脆弱性を突く攻撃が増加による、サイバー攻撃被害や、サプライチェーン攻撃被害の報告が増えています。
2024年の2月には約10年ぶりにNISTサイバーセキュリティフレームワークの最新バージョン(v2.0)が公開され、サイバー攻撃への備えやリスクマネジメント、予防的対策の重要性が今まで以上に強調されるようになりました。こうした対策の中で最も代表的なものの1つが、脆弱性診断です。
本ブログでは、脆弱性診断関連の最新のセキュリティガイドラインの1つである「政府情報システムにおける脆弱性診断導入ガイドライン」について紹介します。
なお、本ブログは網羅的な解説ではなく重要なポイントを抜粋して紹介するものです。詳細な情報が必要な場合にはガイドラインの原本をご確認ください。
「政府情報システムにおける脆弱性診断導入ガイドライン」とは
このガイドラインは、2022年6月にデジタル庁によって策定、公開されたガイドラインの最新版であり、2024年1月末に公開されています。
出典:デジタル庁
政府情報システムにおける脆弱性診断を円滑かつ効果的に実施するための基準や方針を定めるものです。システムに内包するセキュリティ上の弱点を特定し、サイバーセキュリティリスクに対処するために、”構築時診断”と”定期診断”の二種類の診断方法を提示しています。
診断の実施には、正しい理解と高度な専門性、安全性確保のための体制が必要であり、専用の自動診断ツールの利用に加え、適切なセキュリティベンダによる手動診断サービスの併用が重要です。また、この診断は既に存在する脆弱性を検出するものであり、それ以前に脆弱性の発生を未然に防ぐ対策や体制、運用フローの整備が肝要であることも強調されています。
このように政府機関向けのガイドラインではありますが、本ガイドラインは重要情報や個人情報を取り扱うあらゆる組織の脆弱性診断実施の基準や方針として活用できる汎用的な内容となっていますので、ぜひ皆様の組織においても本ガイドラインを参考にした体制や対策の見直しをお勧めします。
注意:本ガイドラインの位置付けはInformation(情報提供)のレベルであり、記載の内容の実施/実現についての義務は示されていないことに注意ください。自組織での実現のための参考情報として活用ください。
ガイドライン作成/公開の背景
DX進展とICTの広範な利用が進む一方で、サイバー攻撃の頻度と高度化はますます進んでいます。特に政府情報システムのような重要機密や個人情報を含む内部システムへの脅威が高まる傾向にあります。政府情報システムは国民生活や行政活動の基盤であり、こうしたシステムにおけるインシデントの発生は社会基盤の機能停止リスクに直結します。
一方で従来から脆弱性診断は実施されているものの、具体的に実施すべき診断内容に関する明確な基準や指針が十分に示されているとは言えない状況でした。
そこで、脆弱性診断の目的や重要性、セキュリティプロセス全体との関連性について理解を深めるきっかけとなるべく制定されたのが本ガイドラインです。脆弱性診断を単独ではなく、総合的なセキュリティ管理の一部としてパッチマネジメントやセキュアコーディング、セキュリティレビュー等と組み合わせた効果的な運用を実現するための参考情報を提供します。
注意:効果的な運用につながる脆弱性診断の実施指針を示すものであり、具体的な運用方法を示すものではありません。
ガイドラインの要点
本ガイドラインの要点として、①考慮すべき脆弱性と診断の対象範囲、②診断実施のタイミング、③診断の具体的な内容、の3点について以下にまとめます。
① 考慮すべき脆弱性と診断の対象範囲
組織内に存在する脆弱性に対する考え方については以下の図にようにまとめられています。
U:システムにおける脆弱性全体
組織内の全システム上に内在するすべての脆弱性
A:発生の想定される脆弱性
存在が発見されていて見つけることが可能な脆弱性
B:仕様や要件としてカバーしている脆弱性
組織として対処方法が明確であり運用の中で対応していくことが可能な脆弱性
Ā:想定外の脆弱性
存在が確認されていない未発見/未知の脆弱性
脆弱性診断は、Bの脆弱性をAの脆弱性の集合に近づけるために行われるものです。あらゆるシステムを対象とした診断を行うことで、Aの脆弱性の中でも従来までの運用では発見が難しかった脆弱性(シャドーIT)を発見し、Bの脆弱性として運用の中で対処できるようにしていく必要があります。
上記を踏まえ、実施すべき脆弱性診断の対象/実施方法として、代表的な3つの方法が以下のようにまとめられています。
(政府情報システムにおける脆弱性診断導入ガイドライン, より引用)
上図の通り、これら3つの方法だけではすべてのシステムを網羅できるわけではありません。組織における優先順位を考慮しつつ様々な方法、ツール、診断サービスを組み合わせ、網羅的な脆弱性の発見に繋げることが重要です。
② 診断実施のタイミング
脆弱性診断の実施については2つのタイミングについて記されています。
構築時診断
システムの構築段階で実施するものであり、脆弱性対策の実施内容の確認やセキュリティ品質の確保を目的として実施。
具体的な内容や条件を以下にまとめます。
プラット フォーム 診断 |
必須 | <対象> 追加や構成の変更が生じた全ての外部公開 IP アドレス(グローバル IP アドレス) 本番環境 ※システム構成が本番環境と同等である場合に限り、検証環境等での診断も可 <実施条件> IPSやWAFなどのセキュリティ対策機器の無効化 |
---|---|---|
任意 | <対象> グローバル IP アドレスを持たない装置 <実施条件> システム内部のネットワークの脅威環境に基づき必要に応じて実施すること 例:複数の異なるサブシステムが相乗りして利用するマルチテナント型のシステム |
|
Web アプリ 診断 |
必須 | <対象> 新規追加や変更の生じた全ての外部公開インタフェース(動的画面や API等) 本番環境 ※全ての外部公開インタフェースが本番と同等に診断できるように、診断用のアカウント設定やデータの投入、外部システム連携等の準備を行うことで検証環境等での診断も可 <実施条件> IPSやWAFなどのセキュリティ対策機器の無効化 |
推奨 | <対象> 他のシステムと連携する場合のその外接箇所 |
|
任意 | <対象> ネットワーク層での十分なアクセス制限等が施された内部機能(管理者向け画面等)の診断 |
|
スマート フォン アプリ 診断 |
必須 | <対象> アプリストアに公開する全ての Android と iOS/iPadOS 向けのアプリ 本番用のアプリ ※サーバとの接続等を含めた全ての機能が本番用と同等に診断できる ように準備を行うことで検証用アプリ等での診断も可 |
(政府情報システムにおける脆弱性診断導入ガイドライン, p17-p19を元に株式会社ネットワークバリューコンポネンツが作成)
定期診断
運用開始後のシステムに対して定期的に実施するものであり、各システムの脆弱性対策が適切に実施されていることの点検や監査を目的として実施
具体的には、定常的な「インベントリ情報の管理」と、定期的な「脆弱性診断の実施」が必要。
「インベントリ情報の管理」
正確な診断のためにはインベントリ情報が常に最新であることが重要。
インベントリ情報の管理対象例としては、利用しているグローバル IP アドレスとドメイン名、OS とミドルウェア、サーバ、デバイス、セキュリティ製品(FW、WAF、IPS/IDS等)、ネットワーク機器(VPN、ネットワーク複合機等のインターネットに接続されるもの)等。
OSINTやASM等のツールやサービスの活用が望ましい。
「脆弱性診断の実施」
上限となる IP アドレス数や画面数を定めた上で調達を行うことが望ましく、優先度をつけて診断対象を選定する必要がある。
※定期的な実施に関する具体的な頻度についての言及はない。
③ 診断の具体的な内容
脆弱性診断の実施によって確認すべき具体的な内容や実施方法に関する記載の内、特に重要なポイントを抜粋して以下にまとめます。
全ての 診断での 共通要件 |
必須 | <診断ツールやサービスについて> ツールを用いる場合、診断対象の見落とし、診断のエラーや誤検出が含まれないように手動で精査すること サービス利用の場合、経済産業省の「情報セキュリティサービスに関する審査登録機関基準」における「脆弱性診断サービス」の認定を取得したセキュリティベンダであること <組織内の体制に関して> 一定の基準を満たす脆弱性診断業務経験者、及び業務調整担当役が 1 名以上参画すること <診断の実施に関して> 診断の実施前に実施計画書を提出すること 診断後には必要な項目を網羅した報告書を作成すること 検出された脆弱性の影響は可能な範囲で実証し、具体的なシナリオに基づいた報告を行うこと 報告書の納品から1ヶ月以内に再診断を行うこと |
---|---|---|
推奨 | <組織内の体制に関して> 一定の基準を満たす脆弱性診断関連のスキル保持者が 1 名以上参画すること <診断の実施に関して> 診断の実施前に対象システムの責任者及び担当者に対して説明会を実施すること 診断報告書に記載の内容は、サイバーセキュリティに 1 年程度従事した担当者が読解可能なレベルでまとめられていること 作業従事者本人が参加する報告会を実施すること |
|
プラット フォーム 診断 |
必須 | <確認内容> 不要ポートの開放:TCP、UDP に対してオープンポートの確認と稼働しているサービスの推定 脆弱なソフトウェアの利用 設定の不備 プロトコル固有の脆弱性 <実施条件> ツールによる診断には、最新の攻撃手法を反映した実績ある商用ツールを活用すること (フリーツールや自社製ツールのみによる診断はNG) |
Web アプリ 診断 |
必須 | <確認内容> 固有のビジネスロジックに依存するもの (手動実施が必須) 一般的な仕様上の不具合 (手動実施が必須) 実装のメカニズムに対する高度な理解が要求されるもの (手動実施が必須) 一般的な実装の不備 (ツール利用時には手動でのサイトチェックも必須) 利用する Web アプリミドルウェア固有の脆弱性 (ツール利用時には手動でのサイトチェックも必須) |
推奨 | 熟練者の経験に基づく手動の診断を行うこと | |
スマート フォン アプリ 診断 |
必須 | <確認内容> アプリ本体:対象アプリのソースコードレビューまたはリバースエンジニアリングを用いること/OWASPのMASチェックリストL1を網羅すること 通信路:OWASPのMASチェックリストL1を網羅すること 外部サービス:対象アプリのソースコードレビューまたはリバースエンジニアリングを用いること |
※各診断で確認が必要な脆弱性種別については「4 付録」に詳細がまとめられているのでそちらを参照ください。
(政府情報システムにおける脆弱性診断導入ガイドライン, p20-p25を元に株式会社ネットワークバリューコンポネンツが作成)
上記診断の結果を踏まえ、検出された脆弱性に対する改修や防御策の適用を随時行うことが重要です。特に実際に対象の脆弱性を悪用した攻撃が国内外で観測されている場合、対応基準に関わらず迅速な対応を推奨しています。
まとめ
現状、本ガイドラインはあくまで政府情報システム向けに作成されています。しかしながらこれまでのセキュリティ対策の歴史を見ると、今後同等の基準が一般企業向けのガイドラインとして公開されるのも時間の問題と言えるのではないでしょうか。
組織における脆弱性対策という観点では、本ガイドラインに記載されている内容はあくまで最低限の指針です。より良いリスク運用の実現のために今できることは、必須事項として記載されている項目以外にもさまざまな対策があります。例えば、本ガイドラインの中では任意の診断とされている構築時の内部診断ですが、昨今のシフトレフトの考え方に当てはめた場合には必須で実現すべき重要な診断とも言えます。
定期診断の項目に記載があるように、昨今のリスク運用の観点では定常的な資産(インベントリ)管理と、定期的な脆弱性診断の実施が重要です。脆弱性診断の利用・導入だけではなく効果的な診断実現のためのインベントリ管理ツールの導入を行うことで、組織内の資産情報を漏れなく把握できるようにすることが推奨されます。
弊社では組織のインベントリ管理と同時に脆弱性管理を支援するプラットフォームとして、公開資産の管理/監視が可能なセキュリティ レーティングソリューションであるSecurityScorecard RatingsやASMソリューションであるMandiant Attack Surface Management、クラウド環境内の資産管理を実現するクラウド運用基盤であるOrca Security製品、端末/サーバ内の資産管理を実現するITハイジーンソリューションであるCarbon Black製品を取り扱っております。こうしたツール導入や、脆弱性管理に関して興味やご相談事項がございましたら、ぜひ弊社までお問い合わせください。
参考:デジタル庁, 政府情報システムにおける脆弱性診断導入ガイドライン, 2024年3月13日参照