- 2020年4月14日
- ヨシダですけど
脆弱性診断会社を選ぶうえで大事なこと
どーも、帽子が似合わない選手権セミファイナリストのヨシダです。
本日は、みなさんも気になっている「脆弱性診断をどこに依頼したらいいんだ!?」という疑問についてアドバイスできたらなと思います。
どういった観点に注目すべきなのかをまとめましたので、ご覧ください。
セキュリティ診断会社を選ぶポイント
①診断精度が高いかどうか
やはり一番大事なのは診断精度が高いかどうかになってきます。
精度が低いと、脆弱性があるのに見つけられない可能性もあります。
そうなると、診断を実施したにも関わらず、セキュリティインシデントが起こってしまうケースも考えられます。
コストをかけてまで診断した意味すらなくなってしまいます。
例えば、弊社レオンテクノロジー(以下レオン)では精度をあげるために、エンジニア陣による週1回の勉強会を行ったり、複数人による体制で診断を行うことにより、確実性と網羅性をしっかりカバーしております。
勉強会では、新種の脆弱性などの共有も行うことにより、常に最新の脆弱性情報を把握しております。
(レオン勉強会の様子)
また、診断会社によっては「XSS」「SQLi」のみの診断だけチェックするところもあります。
たしかに、アプリケーションで発見されやすく、危険度の高い代表的な脆弱性ではあるのですが、世の中にはもっとたくさんの攻撃手法が存在しています。
診断項目が多いかどうかもチェックしておくことも大切です。
あともう一点、着目していただきたいのが「ツール」についてです。
脆弱性診断を行う際に「ツール」を使用することがよくありますが、やはり誤検知やツールでは判断できない部分が結構多いです。
診断会社によっては「ツール診断のみ」を提供しているところもありますが、これだけの結果だと正直安全とは言い切れません。
ツールをぶん回してできたレポートを提供することなんて、素人でもできてしまいます。
やはりホワイトハッカーによる、しっかりと手動も加えた診断を行うべきです。
もちろん世に出回っている診断ツール(ZAPやNessusなど)はしっかりしているものが多いのですが、ちゃんと扱えているかがポイントです。
「ツールのみ」の診断ではなく、手動も加えた診断なのかかチェックすることも大切です。
ちなみにレオンのお客様の中には、セキュリティ診断会社をレオンに切り替えた結果、以前の会社では報告されなかった脆弱性等が報告された実績なども多数ございます!
②診断以外のセキュティ経験も豊富であること
セキュリティインシデントを防ぐために診断をするというのが主目的だと思いますが、システム上どうしても修正ができない場合などがあります。
そんなときのためにも、適切な改善策やアドバイスが可能な診断会社を選ぶ方が良いですよね。
フォレンジックや対策関連を実際に携わっていたり、最新のセキュリティトレンドの把握、リアルな現場での知見、そういったものが豊富な会社を選びましょう。
レオンでは、脆弱性診断だけでなく、各種セキュリティ対策やフォレンジック等を行っており、日々リアルなセキュリティ事案に直面しております。
脆弱性診断はあくまでもセキュリティリスクを低減する一つの選択肢でしかないので、診断ご依頼のお客様であっても、ヒアリング内容次第では診断以外の内容をお勧めするケースもあります。
診断ごり押しの会社には気をつけてください!
そういった点で、豊富な診断実績や取引先があるかチェックすることも大切です。
③柔軟な対応が可能なこと
システムのリリースまでに時間がなく開発状況次第で診断可能日が変化する場合や、年度末の繁忙期での診断依頼、オンサイトでの診断依頼など、柔軟に時間帯や日程を調整できるかも重要です。
オンサイトではお客様先にて発注会社に在籍してることを証明をするものを求められるケースもあるので、自社で優秀なエンジニアをしっかり抱えているかもポイントですね。
レオンのように、見積対象URLやドメイン数等を教えていただくことで、自社にて診断対象を調査し、必要最低限の費用ですむように御見積をしている。また、そのようなオペレーションをすることで、情報システム部門で忙しいお客様の手間削減を行っている会社を選べるかが大切です。
④アフターフォローが充実していること
診断が終わったあとのアフターフォローも重要です。
まず、ちゃんと脆弱性の改善策を教えてくれるかです。
脆弱性が見つかっても「はい!脆弱性ありました!」で終わってしまうと、開発側もどう対応したらいいのかわかりません。
そのシステムが使っているプラットフォームなどに応じた改善策を提示してくれるレポートなのかチェックすることが重要です。
また、改善した後もう一度診断(再診断)を実施してくれる会社なのか、またそういった場(報告会)などもある会社なのかチェックすることも大事です。
⑤コスト面
診断精度に適したコストなのかチェックすることも重要です。
安ければ安いほど良いのかもしれませんが、内容によっては「ツールのみ」や「限られた脆弱性だけのチェック」かもしれません。
それでは充分にセキュリティが担保できたと言い切れないです。
やはりコストをかけるところはしっかりかけるべきです。
実際にセキュリティインシデントにあうとどれくらいの被害がでるか、下図の例をご覧いただきたいのです。
参照:サイバーセキュリティ経営ガイドラインVer 2.0 実践のためのプラクティス集(IPA)
「インシデントによる株価・純利益への影響」の部分に注目して欲しいのですが、「株価は平均10%下落」「純利益は平均21%減少」とあります。
そのほか風評被害や顧客の減少なども考えられるため、組織の損害は甚大なものとわかります。
「うちは大丈夫だから」と安心せず、しっかりセキュリティにもコストをかける考え方が大切です。
特にセキュリティを意識しないといけない仮想通貨業界などでは、セキュリティに年間1億円以上かけているとかも耳にしています。
ただ、「このセキュリティ診断は一式100万円です」とか、言われても納得いかないので、ちゃんとシステムに応じた価格を提示する会社を選びましょう。
例えばレオンの場合、WEBアプリケーション診断では、診断する箇所である動的ページを洗い出して、そのページやリクエスト数に応じてお見積もりを制作するようなフローになっております。
⑥他の規程規約に準拠した診断であること
PCI DSSやFISCやIPAなどに準拠し、実施すべき診断項目以上の内容を網羅しているかチェックすることが重要です。
PCI DSSとは加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
ECサイトなどでクレジットカードを扱えるようにするためには、こちらの認定が必要になってきます。
FISCとは財団法人金融情報システムセンターの略で、金融機関等コンピュータシステムの安全対策基準となっております。
IPAとは独立行政法人情報処理推進機構の略で、日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の中期目標管理法人たる独立行政法人です。
ご存知の方も多いと思いますが、ITパスポートの試験などもIPAで行われています。
他にも、NISTなど様々な規定規約が存在していますが、そういったものに準拠した診断なのかしっかり確認することが重要です。
診断会社によっては、独自の基準を設けていたりする場合がございます。
その基準は、上記のような規程規約をちゃんとカバーしているかチェックしましょう。
まとめ
上記6つのポイントをしっかりチェックして、診断会社を選ぶことが大事です。
セキュリティ診断は、そのサービスの性質上、お客様にとって非常にブラックボックスで中身や品質の善し悪しがわかりづらい側面があります。
例えば、優秀なセキュリティエンジニアと素人セキュリティエンジニアが診断を行って、結果的に脆弱性「無」と報告したとしても、診断の中身は全く異なります。
もしかしたら、素人セキュリティエンジニアの場合は隅々まで確認できずに報告しているかもしれません。
信頼できる取引先があるか、ちゃんとリピート頂けているかも含めて、しっかりとした投資対効果を得るためにも、脆弱性診断会社を選ぶ際はしっかり注意してください。
最近では、金融庁などから「年一回以上の診断を受けているか」などの審査を多くなってきており、診断会社を探している企業さんも増えてきたと思います。
レオンテクノロジーも診断会社のひとつであり、上記ポイントに関しては自負しておりますので、セキュリティのご相談はぜひお願いします!(笑)
ありがとうございました。