「政府情報システムにおける脆弱性診断導入ガイドライン」について

みなさま、こんにちは。

先日、6月30日にデジタル庁より「政府情報システムにおける脆弱性診断導入ガイドライン」が発表されました。

この文書自体は、政府が利用する情報システムに対する脆弱性診断を効果的に実施することを目的として、政府情報システムの管理責任や各機関のセキュリティ管理を担う職員向けに脆弱性診断を実施する際の基準及びガイダンスとして作成されたものですが、今後は民間の企業や組織においてもこれらを参考とする事が増えてくるかと思われます。

出展:デジタル庁「政府情報システムにおける脆弱性診断導入ガイドライン」

https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/3bc45d3c/20220630_resources_standard_guidelines_guidelines_08.pdf

本日は、この文書の内容について考察していきます。

適用対象

以下が適用対象として定義されています。

政府系の情報システムにて広く利用されていると記載されていますが、これは政府に関連するものに限らず、一般的にも同様ですね。

■プラットフォーム脆弱性診断

 サーバやネットワーク機器等に対して行う脆弱性診断

■Web アプリケーション脆弱性診断

 Web アプリケーションに対して行う脆弱性診断

■スマートフォンアプリケーション脆弱性診断

 Google Android や Apple iOS/iPadOS 端末上で動作するスマートフォンアプリケーションに対して行う脆弱性診断

これらの対象は、以前と同様ではありますが、今回の文書では「スマートフォンアプリケーション」が明確に対象として定義されています。

また、プラットフォーム診断、WEBアプリケーション診断においても、クラウドアーキテクチャの革新により診断すべき内容が以前とは異なるケースも多々あります。

例えば、ネットワーク経由で利用するシステムやアプリケーションが主流となってきていますので、API等を介した通信経路の脆弱性も意識しておく必要があります。

近年では、コンテナイメージに内包される脆弱性や、OSS(オープンソースソフトウェア)のライブラリやフレームワークなどの脆弱性に関しても多くの問題が指摘されるようになってきています。

脆弱性診断の位置付け

文書内では、脆弱性診断の実施に関して以下のように記載されています。

脆弱性診断はシステムにおけるセキュリティ上の弱点を特定するものであるが、診断のみでシステムのセキュリティリスクを防ぐことはできない。また、脆弱性診断は既に作り込まれた脆弱性を検出するものであるが、それ以前に脆弱性の発生を未然に防ぐことが肝要である。こうした背景から、脆弱性診断は他のセキュリティプロセス(パッチマネジメントやセキュアコーディング、セキュリティレビュー等)と組み合わせて実施することが望ましい。さらに、脆弱性診断の検出結果をセキュリティプロセスそのものの改善に役立てていくことが望ましい。

脆弱性診断はあくまでも脆弱性の有無、リスクを可視化するものです。

診断の実施だけでは何の対策にもならず、診断結果を正しく理解し、評価・改善・強化のプロセスを継続していく事が重要性です。

これは、民間の企業や組織にも同様の事が当てはまります。

また、以下のような記載も現在の市場動向が反映されているなと感じます。

昨今は VPN 機器や外部ネットワークに接続されている複合機等が攻撃の起点 として狙われていることから、これらも診断対象とする必要がある。また、連携 する外部システムも侵入の糸口となるおそれがあることから、脆弱性診断の実 施状況等を確認することが望ましい。

一般の環境に置き換えると、リモートワーク等のニューノーマルな働き方を狙った攻撃や、取引先やグループ会社等とのシステム連携に関する弱点を悪用したサプライチェーン攻撃などがこれらに該当します。

このあたりは、IPA独立行政法人情報処理推進機構が発表している2022年版の情報セキュリティ10大脅威にもランキングされていますので注意が必要です。

出展:IPA 独立行政法人 情報処理推進機構

https://www.ipa.go.jp/security/vuln/10threats2022.html

脆弱性診断の実施基準

脆弱性診断の実施基準としては、以下の2種類が定義されています。

構築時診断

各システムの構築時に行う診断で、脆弱性対策の実施内容の確認やセキ ュリティ品質の確保を目的として実施するものを示す。

各システムの情報セキュリティ責任者や PJMO 等が、統一基準群の求めるソフトウェア に関する脆弱性対策に従い、自身の管理するシステムにおける脆弱性対策の一環として実施することを想定する。

各システムの開発にあたる者は、システムの構築や更改時に適切な診断が行われるようにするため、 本章の基準に従い、調達仕様書等に脆弱性診断要件を明記するものとする。

 定期診断

各機関で定期的に実施する診断で、各システムの脆弱性対策が適切に実施されていることの点検や監査を目的として実施するものを示す。

統一基準群の求める情報セキュリティ対策における自己点検や情報セキュリティ監査の一環として自組織のシステム全体を視野に実施することを想定する。

各機関で定期点検や監査にあたる者は、適切な脆弱性診断が行 われるようにするため、本章の基準を参考に、脆弱性診断の実施方針を定義するものとする。

構築時診断は、新規システム構築時や機能追加・改修の際などのいわゆる「リリース前診断」に該当します。

ツールでの診断だけではなく、可能であれば専門のエンジニアによる手動診断も実施し、しっかりと確認しておいた方が良い部分です。

定期診断は、リリース後の評価・改修・強化のサイクルを継続して回していくために必要なものです。

例えば、PCIDSS等のガイドラインに沿った運用を想定した場合には、四半期に1回の診断を実施する事が推奨されています。

しかしながら、上記の考え方は従来のウォーターホール型の開発手法を想定したものであり、現代のモダンなアプリケーション開発手法や運用体制においては必ずしも十分とは言えないと感じます。

市場の成長に合わせた迅速なリリースを目的としたアジャイル開発や、DevSecOps等の概念を取り入れ、先進的な取り組みを行っている組織においては、各工程にて必要な対策を随時行っていく必要があります。

また昨今は、クラウドの技術革新等によりマイクロサービス化されているアプリケーションも多数存在します。

このような場合は、システム全体での診断ではなく、例えば機能単位での開発工程においてそれぞれが必要な診断を実施し、セキュリティレベルを向上させていくような取り組み、意識が必要になってきます。

このように、セキュリティ対策をより早期の段階に移動させる事を、「セキュリティのシフトレフト」と言われています。

まとめ

文書には、もっと細かい仕様に関する記載も多々ありますが、今回は基本的な概要部分に着目して考察しました。

要点としては、

・脆弱性診断はあくまでも診断であり、診断の結果に基づいた適切なセキュリティ対策を取り入れる事が重要

・適切なタイミングで必要な診断を実施する

・これらを継続的に実践する

これは政府の情報システム基盤だけではなく、どのようなものにも当てはまりますが、昨今の複雑化していくIT環境においては、適切な診断や対策を検討するのも困難なケースが散見されます。

また、セキュリティ対策を継続的に実践していく為のマネジメントや組織の意識改革や文化の醸成なども必要になってきます。

セキュリティ対策は、企業にとっての経営課題であるという意識を持って、総合的な対応を検討していく事が肝要であり、現状を正確に把握し、その評価結果に基づいた強化・対策を継続して実施して、理想とする姿に近づけていく事が重要です。

M&Kでは、経験豊富なエンジニア、コンサルタントによる脆弱性診断、情報セキュリティマネジメント体制の構築や、ルール策定に関するご相談、標的型攻撃メールに対する訓練やセキュリティ講習などの教育支援など、企業のセキュリティ対策における課題解決を総合的にご支援します。

M&Kサービス案内

何かお悩みの点がございましたら、お気軽にご相談ください。