メニュー
おすすめコラム

2018年11月5日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣

第8回 自分たちのセキュリティ対策レベル診断する方法とは

ペネトレーションテストなどを実施すると、どれだけ対策をやっていても侵入されてしまうところを見ると不安になる人も少なくありません。そんな人たちから、「セキュリティ対策はどれだけやればいいの?」という質問をしばしば受けますが、「ズバリここまでです!」と言えるような明確な答えはありません。
セキュリティ投資はIT投資予算のうちの10%〜15%程度を投じるべきだという見解もありますし、もっと投じるべきだという見解もあります。
そこで1つの判断基準として、自分たちと同じ業界や業態の他社のセキュリティ対策のレベルと、自社の状況を比較することによって、自社に足りない部分は何かを知るという手段があります。少なくともその業界が求めるレベルのセキュリティ対策は必要でしょう。

セキュリティ対策はリスクマネジメントの一環

「セキュリティ対策はどれだけやればいいの?」と言われても、守るべきものに応じてレベル感は変わってきますし、持っている予算によっても変わってきます。コストを投じるほどセキュリティレベルが上がっていくわけですが、見当違いなものに投資しても無駄になるだけです。なるべく最小限の投資で、できる限り最大限の効果を得たいとすべての人が思うことでしょう。
また、セキュリティ対策にどれだけ投資をしても100%防御できるわけではありません。どれだけ損失を回避するか、どれだけ損失を低減することができるかと考える必要があります。セキュリティ対策は生じた不安1つ1つを消すことには役立ちますが、不安そのものなくしてしまうはできません。常に不安は次々と現れるものなのです。「リスクマネジメント」を知ることが必要です。
そうは言っても、できる限り簡潔な答えが欲しいのが人情というものでしょう。

自分たちの組織はどの程度のセキュリティ偏差値があるのか?

他社がどの程度のセキュリティ対策状況にあるかというのを確かめることができるサービスがあります。独立行政法人情報処理推進機構(IPA)が提供している「情報セキュリティ対策ベンチマーク」というものがあり、下記のIPAのWebサイトで提供されています。
https://www.ipa.go.jp/security/benchmark/index.html

このベンチマークを使って質問に答えて診断を行うと、30分程度で情報セキュリティ対策25項目についてスコア比較が行えるというものです。
リリース時点で最新2年分のデータを分析して公開しているので、他社のセキュリティ対策の”今”を知ることができます。このベンチマークを利用して診断を行ったユーザーは2017年9月30日時点で利用件数は延べ3万8千件を超え、執筆時点の最新版ver.4.6では5,593件の各企業から提供された診断データを基礎データとして用いています。
診断企業を業種や規模以外にも下記のようにレベル分けして診断を行うことができます。
・グループI:高水準のセキュリティレベルが要求される層
・グループII:相応の水準のセキュリティレベルが望まれる層
・グループIII:情報セキュリティ対策が喫緊の課題ではない層

ただ、一部の業界は業界全体でセキュリティ対策が遅れていることも多々ありますので、横並びになったからと言って安心できるわけではないことも知っておいた方がよいでしょう。常に自社にとって必要なセキュリティ対策とは何かを問いかけ続けるべきです。

アプリケーションはどの程度のセキュリティ対策をすべきか?

組織全体のセキュリティ対策も重要ですが、サービスやアプリケーションを提供している会社であれば、アプリケーションのセキュリティレベルがどの程度かということも気になることでしょう。
主にWebを中心としたセキュリティ対策を支援する非営利団体OWASP(https://www.owasp.org/)がその答えの1つを持っています。

OWASPではASVS(Application Security Verification Standard:アプリケーションセキュリティ検証標準)プロジェクトというものがあり、アプリケーションの設計、開発、脆弱性診断におけるセキュリティ要件の標準を確立することを目指しています。
このプロジェクトで公開されているASVSドキュメントを利用することで、開発したアプリケーションがどの程度セキュアなのかを客観的に計る指標とすることができます。

・OWASP Application Security Verification Standard Project
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
・JPCERT/CCによるOWASP ASVS 日本語版
https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html

もし、Webアプリケーションそのもののセキュリティ要件定義書が必要なのであれば、OWASP Japanが公開している「Webシステム/Webアプリケーションセキュリティ要件書」を活用するのもよいでしょう。
https://github.com/ueno1000/secreq