「脆弱性診断」を正しく理解し、利用するためのガイドライン

――官民連携でのガイドライン策定に至った理由を聞かせて下さい。

武智 : 直接のきっかけは、2012年に行われた「不正アクセス禁止法」の改訂です。

その第10条第2項には「援助規定」というものが設けられています。ここでは、不正アクセス行為に対する防御施策について、国による情報セキュリティ関連事業者団体に対する「必要な情報の提供やその他の援助を行うこと」が努力義務として挙げられています。この対象となる情報セキュリティ関連事業団体の例として、ISOG-Jとフィッシング対策協議会が入っているのです。

この取り組みの中で、国家公安委員会や警察庁、総務省、経済産業省と情報交換をする機会があり、そこで管理されている情報セキュリティの実態に関する統計情報を吟味しました。

その統計の中に「アクセス制御の有効性を確認する方法を実施しているか?」という設問があるのですが、「やっていない」と答えた会社が、全体の6~7割に達しており、その状況はこの10年、ほとんど変化していないという実態がわかりました。また、「やっている」と答えた会社であっても、「アクセス制御を高度化する対策をとっているか」については、3割程度が「(この10年間に)やっていない」というのが現状でした。

この状況を変えるために、業界として、何らかのガイドラインを出す必要性があるのではないかと考えたのです。

現在、サービスとして「脆弱性診断」を提供している業者自体は多いのです。しかしそのレベルについてはまちまちで、ユーザーの立場では見分けが付かないことがほとんどです。値段の幅も広く、レベルとして十分な診断サービスを妥当な価格で提供している業者が、その妥当性について説明することが難しい状況もあります。

その点で、サービスの相場感、サービス内容や業者の選択基準を、どう考えるべきかといったこと分かりやすく案内する情報を、警察庁と総務省、経済産業省、そしてISOG-Jに加盟する14の事業者が協力してまとめたものになります。

長尾 : 当初、編集の作業はかなり難航しました。事業者が異なれば、その中で使われている用語も違うし、ひとつの問題に関する考え方にも違いが出てきます。この書籍は、そうしたせめぎ合いの中から生まれました。

執筆に参加した事業者は、競合関係にあるとはいえ「ユーザーがきちんとメリットがある診断を受けてほしい。悪質な業者に欺かれないでほしい」という点で、共通した認識を持っていました。その成果として、読んでいただければ「脆弱性診断が、どんなもので、そこで何をやっているか」が分かるようになっています。

実際に、われわれも脆弱性診断を提供している中で、「とにかく価格が安い」ベンダーに診断をやってもらったというユーザーにお会いすることがあります。ただ、調べてみると、その診断内容はミニマムで、そのユーザーが本来受けるべき診断の水準に達していないというケースも多いのです。

標的型攻撃がはやり始めて以降、お客様のセキュリティに対する意識は変わってきてはいます。脆弱性診断に対する関心も高まっていますが、その内容が技術的に難解なことから、サービスのクオリティに対して利用者が厳しい目で判断することが少ないという問題は、本質的に変わっていないのではないかと思います。

このガイドラインを読んでいただければ、脆弱性診断がなぜ必要なのか、実際にはどのようなことをやっているのか、ツールによる検査だけではなく、なぜ手動での検査も必要なのか、といったことを幅広く理解していただけると思います。

武智 : われわれの希望は、「サービスを買うにあたっては、その内容についても理解してほしい」というシンプルなものです。業界団体として、そのためのガイドラインをこれまで出していなかったという点で反省もしています。

今回、このような形で基準をとりまとめることで、単なる価格比較や、「診断さえ受けておけばよい」という実績作りだけでなく、自社のITセキュリティについて、より深いレベルで考え、脆弱性診断サービスを選択し、利用してくれるユーザーが増えてくれることを期待しています。

事業者の横のつながりが日本のセキュリティレベルを上げていく

武智 : 脆弱性診断に限らず、欧米ではしっかりとした知識を持ったセキュリティアドミニストレーターが企業を移りながらノウハウを提供していくという傾向があるのですが、日本はそういった状況にありませんよね。

日本の場合は、ある程度、事業者がきちんとしたサービスを提供できる環境を整え、そこが支えていくような状況を作ることで、社会全体の情報セキュリティレベルを向上させていくというやり方のほうが合っているのではないかと思います。

ISOG-Jが発足した当初には、「セキュリティオペレーション」という活動自体に社会的な認知がなく、各所からの支援も受けづらいという状況もあったのですが、現在では、その風向きも変わってきたかなと感じています。

日本のサイバーセキュリティを考えるときに、事業者、サービス提供者が横のつながりを作っていくというモデルはあると思います。たしかにビジネス上のライバルとして「呉越同舟」な部分もあるでしょうが、その中で互いに刺激を与えあいながら、レベルを上げていくという側面はあるのではないでしょうか。

長尾 : そうですね。ISOG-Jのような団体の主導によって集う機会がなければ、なかなか同じ課題を抱えた事業者が一堂に会することはないと思います。

他の事業者のサービスの内容や取り組み方を知ることで、自分たちが提供しているサービスの位置付けについて、客観的な目で確認できることがあります。ISOG-Jは幅広く意見交換できた、初めての機会でした。

武智 : 今回、SCSKさんにご協力いただいた「セキュリティ診断サービスガイド」でも、最初はサービス自体に格付けをしたいという構想があったのですが、実際に事業者が集って話を進める中で「そんな単純にできることじゃない」というのが、はじめて分かってきましたね。

こうしたサービスは、どうしても属人的な要素が強くなってしまい、同じ企業が提供する場合でも、担当者によって品質が変わってしまうことがあります。それをよく分かっているユーザーだと、担当者を名指しで指名したりするケースもある。

今回の書籍を作った中で、そういう状況が改めて見えてきましたので、次の段階としては「技術者を認定する枠組み」を、同様の取り組みを行っているOWASP JapanとISOG-Jの自主基準のような形で作れないだろうかというアイデアも出てきています。これが実現すると、こうしたWebサイトの脆弱性診断を調達する際の「保証」のひとつになるかもしれませんよね。

ISOG-Jのような協議会への参加やガイドライン作りといった活動は、直接収益に結びつく活動ではないという点で、事業にとってみれば「コスト」とみられがちです。その中でSCSKさんを含め、こうした活動に積極的に参加してくださる事業者さんは、自社がかかわっている業界や、提供しているサービスの価値を、よりよく理解してもらい、発展させていこうという意味で「良心」を持っていらっしゃるところだと思います。そういう意味で、今回SCSKさんに、積極的に参加してもらえたことは良かったと思っています。