金曜の夕方、取引先の大手メーカーからの一通のメールが、担当部長の机の上でパソコン画面を止めた。「来期からのお取引継続にあたり、貴社システムの脆弱性診断実施報告書のご提出をお願いいたします」。差出人は購買部門ではなく、情報セキュリティ推進室。添付には診断範囲の記入欄と提出期限だけが淡々と並んでいる。
情報システム部という名の部署はなく、総務と経理を兼務しながら社内のパソコンとサーバーの面倒も見てきた担当者は、正直なところ「脆弱性診断」という言葉を人生で初めて目にした。検索窓に打ち込んでみると、専門用語の羅列と、桁の違う見積もりらしき数字が並ぶ記事ばかりが出てくる。誰に頼めばいいのか、いくらかかるのか、そもそも何を診断してもらうのか。締め切りまでは三週間。焦りだけが募っていく。
この記事は、まさにこの立場に置かれた人のために書いている。専門用語を一つずつ翻訳しながら、自社が今どのフェーズにいて、何を、いつ受けるべきかを判断できるところまで一緒に歩いていきたい。エンジニアではないのに、突然セキュリティの窓口にされてしまった人たちへ。壁は高く見えるが、越え方さえ分かれば一歩ずつ進める壁だ。
脆弱性診断とは何か
脆弱性診断を一言で言えば、自社のシステムやウェブサイトに「侵入されるかもしれない隙間」がないかを、実際に攻撃者と同じ視点でチェックしてもらう作業だ。家に例えるなら、鍵屋に依頼して自宅のすべての鍵と窓とベランダの手すりを点検してもらい、壊れている箇所やこじ開けられそうな箇所を一覧にしてもらう、というイメージに近い。
ここで大事なのは、脆弱性診断は「絶対に安全になる保証書」ではないという点だ。診断はあくまである時点でのスナップショットであり、システムが更新されれば新しい隙間が生まれる可能性もある。それでも診断を受ける意味は大きい。診断を受けていれば、少なくとも「その時点で見つかる範囲の危険は把握し、対策を検討した」という事実が残る。これは取引先に対する説明責任であると同時に、万が一トラブルが起きた際に自社を守る記録にもなる。
似た言葉に「ペネトレーションテスト」がある。こちらは診断よりも一歩踏み込み、実際にどこまで侵入できるかをシナリオに沿って試す、より攻撃的な検証だ。取引先から求められるのはほとんどの場合、網羅的に隙間を洗い出す脆弱性診断のほうなので、まずは診断から検討すれば十分なケースが大半である。
診断にはどんな種類があるか
いざ診断会社に問い合わせると、最初に「診断対象はWebアプリケーションですか、それともプラットフォームですか」と聞かれて言葉に詰まる人は多い。ここを整理しておくだけで、見積もりの精度も会話のスムーズさも大きく変わる。
Webアプリケーション診断
会員登録フォーム、ログイン機能、問い合わせフォーム、社内システムの管理画面など、ブラウザから操作するシステムそのものの作り方に隙間がないかを調べる診断だ。例えば、入力欄に特殊な文字列を入れることで裏側のデータベースが不正に操作できてしまわないか、他人のIDを推測してログインできてしまわないか、といった観点でチェックする。顧客情報や会員情報を扱う自社システムがあるなら、まず対象になるのはこの診断である。
プラットフォーム診断(ネットワーク診断)
サーバーやネットワーク機器そのものの設定を調べる診断だ。古いバージョンのソフトウェアが使われたままになっていないか、本来閉じているべき通信の出入口が開けっ放しになっていないか、初期設定のままのパスワードが残っていないか、といった点を確認する。自社でサーバーを保有している、あるいはクラウド上に独自の環境を構築している場合に必要になる。
スマートフォンアプリ診断
自社で開発したスマートフォンアプリがある場合、アプリ内に認証情報がそのまま保存されていないか、通信の暗号化が適切かといった観点で調べる診断だ。アプリを自社開発していない企業には基本的に関係ない。
取引先からの依頼文に「対象範囲」の記載がある場合は、そこに書かれた言葉をそのまま診断会社への問い合わせ文に使えばよい。書かれていない場合は、遠慮せず取引先の担当窓口に「診断対象はWebアプリケーションとプラットフォームのどちらを想定されていますか」と聞き返してかまわない。ここで型番の分からない部品を無理に注文してしまうより、一度確認したほうが結果的に早い。
中小企業はいつ受けるべきか
「予算に余裕ができたら」ではなく、明確なタイミングで検討すべきものだ。代表的な四つの場面を挙げる。
- 新規システムやウェブサービスをリリースする前。公開してから欠陥に気づくのでは遅い。本番稼働前の最終チェックとして組み込む。
- 取引先や親会社から診断報告書の提出を求められたとき。今まさにこの記事を読んでいる人の状況がこれにあたる。
- 個人情報やクレジットカード情報など、機密性の高いデータを新たに扱い始めるとき。ネットショップの開設、会員制サービスの立ち上げなどが典型例だ。
- 既存システムに大きな機能追加や改修を行ったとき。特にログイン機能や決済機能に手を入れた場合は、改修範囲だけでも再診断する価値がある。
「毎年一回」という定期診断を求める取引先も少なくない。理由は単純で、システムは日々更新され、新しい攻撃手法も日々発見されているからだ。一度受けて終わりにするのではなく、事業の節目ごとに受け直すものだと捉えておくと、次に依頼が来たときも慌てずに済む。
逆に、社内で使う経費精算ソフトのような、外部からアクセスできない小規模なツールにまで一律で診断をかける必要はない。すべてを完璧にしようとして予算と時間を使い果たすより、外部に公開しているシステム、顧客データを扱うシステムから優先順位をつけて着手するほうが、限られたリソースの中小企業には現実的だ。
診断会社の選び方と費用感
費用は診断対象の規模と深さによって大きく変わる。小規模なコーポレートサイトの簡易診断であれば数万円から、会員機能や決済機能を持つWebアプリケーションの本格的な診断になると数十万円から百万円を超えることもある。安さだけで選ぶと、後述する「形だけの報告書」に行き着くリスクがあるため、見積もりの内訳をきちんと確認することが欠かせない。
確認すべきポイントは次の通りだ。
- 診断項目がどの程度網羅的か。業界団体が公開しているガイドラインに沿った項目数を確保しているか。
- ツールによる自動診断だけか、人の手による目視確認(手動診断)が含まれているか。自動診断のみだと見落としが出やすい。
- 報告書のサンプルを事前に見せてもらえるか。指摘事項ごとに危険度と対応方法まで書かれているものが望ましい。
- 再診断や質問対応など、報告後のフォロー体制があるか。
複数社から見積もりを取り、金額だけでなく報告書サンプルを比較することを勧める。取引先に提出する書類だからこそ、体裁だけでなく中身が伴っているかを自分の目で確かめておきたい。
診断結果が出た後にやるべきこと
報告書が届いた瞬間、多くの担当者は安堵する。しかし本当の仕事はここから始まる。報告書には通常、緊急度の高い順に「危険」「警告」「注意」といったランクで指摘事項が並ぶ。ここで最も避けたいのは、指摘事項をすべて同時に解決しようとして手が止まってしまうことだ。
優先順位のつけ方はシンプルでよい。まず、外部から悪用されると個人情報の漏洩や不正アクセスに直結する項目を最優先で対応する。次に、修正コストが低く即座に直せる項目を並行して片付ける。最後に、影響は限定的だが根本的な設計改善が必要な項目は、次のシステム改修のタイミングに合わせて計画に組み込む。
対応が完了した項目については、開発会社やエンジニアに修正内容の記録を残してもらい、可能であれば再診断で修正が有効かを確認する。取引先に提出する際も、単に報告書だけでなく「指摘事項への対応状況一覧」を添えられると、こちらの姿勢が伝わり信頼につながる。数字と専門用語だけの書類を右から左に渡すのではなく、自分の言葉で対応方針を一枚にまとめる、そのひと手間が担当者の仕事の価値を決める。
よくある失敗パターン
現場でよく見かける失敗をいくつか紹介する。自社が同じ轍を踏まないための参考にしてほしい。
- 診断を受けたことで満足してしまい、指摘事項を一つも直さないまま報告書だけを提出する。取引先の担当者が中身まで確認するとは限らないが、次にトラブルが起きたときには「知っていたのに放置した」という最も重い評価につながる。
- 価格の安さだけで診断会社を選び、ツールによる自動スキャンの結果をほぼそのまま出力しただけの報告書を受け取る。指摘件数はゼロに近いが、実際には手動診断でしか見つからない欠陥が残ったままというケースは珍しくない。
- 診断範囲を絞りすぎて、本来チェックすべきログイン機能や決済機能が対象外になっていた。安く済んだと思ったら、肝心な部分が診断されていなかったという結果になる。
- 診断結果を社内の一部署だけが抱え込み、経営層や開発担当に共有されないまま時間切れになる。指摘事項の対応には開発リソースの確保が必要になることが多く、経営判断が絡む。早い段階で共有し、対応予算を確保しておく必要がある。
- 診断を一度受けたことで安心し、その後何年も再診断をしていない。システムは変化し続けるものであり、診断結果の鮮度にも期限があると考えたほうがよい。
まとめ
脆弱性診断という言葉に身構える必要はない。専門用語を一つずつ翻訳すれば、それは「自社のシステムに隙間がないかを専門家の目で点検してもらう作業」に過ぎない。診断対象を整理し、複数の診断会社から見積もりを取り、報告書を受け取ったら優先順位をつけて対応する。この流れさえつかめば、初めて依頼メールを受け取ったときの戸惑いは、着実に前へ進める手順に変わっていく。
本業ではない領域に突然向き合わされる担当者は、決して少なくない。経理も総務も情報システムも兼務しながら、取引先からの一通のメールに応えるために専門用語と向き合う。その姿は、地味だが確かに会社を前に進めている壁の越え方だ。今回の対応を終えたとき、次に同じ依頼が来ても、もう戸惑うことはない。その積み重ねこそが、事業を支える力になる。