脆弱性診断の頻度について調べてみた
2025.03.31こんにちは!コンサルティング部のくろすけです!
少し前に案件にて、お客様の脆弱性診断の頻度についてアセスメントする機会がありましたので記事にしたいと思います。
前職時代から脆弱性診断の頻度については、自分でもどの程度が適切なんだろうと思っておりました。
一般的に四半期というのはよく聞いておりましたが、改めて調べてみました。
調査対象
まずは調査対象のセキュリティ基準の選定から始めました。
金融業界関連のセキュリティ基準に絞って選定を行っています。
下記が選定の結果です。
| 基準・ガイドライン | 発行元 | 概要 | 選定結果 |
|---|---|---|---|
| 金融分野におけるサイバーセキュリティに関するガイドライン | 金融庁 | 金融機関向けのシステムセキュリティガイドライン | 調査対象とする |
| 金融情報システムセンター金融機関等コンピュータシステムの安全対策基準 | FISC | 金融機関向けのシステムセキュリティガイドライン | 有料のため調査対象外とする |
| サイバーセキュリティ経営ガイドライン | NISC | 経営者が理解すべきサイバーリスクとその対策を示す | 経営者向けのガイドラインであり不適当と考えたため、調査対象外とする |
| SP 800-53 Rev. 5 | NIST | 組織と情報システムのためのセキュリティおよびプライバシー管理策 | 調査対象とする |
| FedRAMP Continuous Monitoring Strategy Guide | 米国連邦政府 | クラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを提供 | 調査対象とする |
| PCI DSS | PCI SSC | クレジットカードに関するセキュリティ基準 | 調査対象とする |
調査結果
結果として、具体的な脆弱性診断の頻度について言及した記述はごく少数ということがわかりました。
特に上記について、国内文書では頻度に言及した文書は確認できませんでした。
脆弱性診断の頻度についての言及が確認できたのは下記です。
| 基準・ガイドライン | 発行元 | 頻度 |
|---|---|---|
| FedRAMP Continuous Monitoring Strategy Guide | 米国連邦政府 | OS・Webアプリ・DBなど対象別に「1ヶ月に一度」 |
| PCI DSS | PCI SSC | v3系では「四半期に一度」、v4系では「3ヶ月に一度」 |
結論
昨今のサイバー攻撃の高度化や新たな脆弱性の発見頻度を考慮すると、なるべく高頻度もしくは継続的な診断がベストにはなるかと思います。
ただし、調査結果では「定期的な診断」という文言が大半のようなので最低限の水準という意味で「四半期に一度」というのは一定程度は妥当な頻度ではと思われます。
考察
調査した限りでは「四半期に一度」という文言はPCI DSSのv3系にのみ確認できたため、もしかするとこちらが元ネタなのかもしれません。
あとがき
今まで前例主義的に「四半期に一度」というところを意識していましたが、元ネタっぽいものがわかり、少し解像度が上がった気がしています。
ただ、個人的には「四半期に一度」は本当に最低限じゃないかな...と思うので、できれば高頻度・継続的な診断をお勧めいたします。
