情報システムの脆弱性を点検するための脆弱性検査
簡潔に言えば、脆弱性検査は、情報システムの点検して脆弱性を検査することです。
独立行政法人情報処理推進機構(IPA)は、脆弱性検査について「ソフトウェアやシステムに対
して脆弱性がないかどうかを検査するものである。
脆弱性検査をする目的は、ソフトウェアやシステムにある脆弱性を低減することにある。
脆弱性検査をすることでソフトウェアやシステムをリリースする前に予め脆弱性があるかどう
かを検査して、判明した脆弱性を修正したり、
現在稼働しているシステムの脆弱性の有無の状況を確認し、対処方法を適用したりする」と表
記しています。
(独立行政法人情報処理推進機構セキュリティセンター「脆弱性検査と脆弱性対策に関するレ
ポート~組織で提供するソフトウェアの検査と組織内のシステムの点検のための脆弱性検査
を~」2013年8月8日、p5)。
ここで、「検査」という用語を用いていて「監査」という用語を使用していないことに気づい
てください。
監査と検査の両者は異なります。
監査は、仕組みやプロセスを点検・評価するもので、検査は、仕組みやプロセスをチェックす
るのではなく、ある機能やコントロールがあるかどうかをチェックするものなのです。
脆弱性検査の意義を認識してポイントを押さえた検査をしよう
また、自分自身で脆弱性検査の実施を企画しなければならないこともあるでしょう。
脆弱性検査を実施するようにと情報セキュリティを担当することになったら、指示される場合
があります。
脆弱性検査の実施を自分自身で企画しなければならないこともあると思います。
例えば、脆弱性検査では、次のようなことがポイントになります。
・脆弱性検査を定期的に実施すること
・脆弱性検査の対象の網羅性が確保されていること
・技術力のある委託先に脆弱性検査を委託すること
・脆弱性の結果、判明したリスクに対して対応策を講じること
管理者や経営者は、あたりまえですが、脆弱性検査の意義を認識したうえで、予算を確保して
脆弱性検査を実施させ、それに応じた改善策を講じさせるする必要があります。
まとめ
脆弱性検査は1度受けるだけでは意味がありません。
それは、情報システムが日々進化を続けているのと同じように、脅威も日々進化を続けている
からです。
そのため、定期的に脆弱性検査を受け、セキュリティに穴がないかをチェックする必要があり
ます。
基本的には、詳細な検査は少なくとも年に1回、通常の検査は四半期ごとに受けるのが望まし
いとされています。
さらに、Webアプリケーションなど頻繁に更新するシステムに関しては1週間に1度、簡易にで
も脆弱性検査を受けることにより、セキュリティ対策を強固なものにすることが実現できるの
です。