脆弱性診断の頻度について調べてみた

脆弱性診断の頻度について調べてみた

Clock Icon2025.03.31

こんにちは!コンサルティング部のくろすけです!
少し前に案件にて、お客様の脆弱性診断の頻度についてアセスメントする機会がありましたので記事にしたいと思います。

前職時代から脆弱性診断の頻度については、自分でもどの程度が適切なんだろうと思っておりました。
一般的に四半期というのはよく聞いておりましたが、改めて調べてみました。

調査対象

まずは調査対象のセキュリティ基準の選定から始めました。
金融業界関連のセキュリティ基準に絞って選定を行っています。
下記が選定の結果です。

基準・ガイドライン 発行元 概要 選定結果
金融分野におけるサイバーセキュリティに関するガイドライン 金融庁 金融機関向けのシステムセキュリティガイドライン 調査対象とする
金融情報システムセンター金融機関等コンピュータシステムの安全対策基準 FISC 金融機関向けのシステムセキュリティガイドライン 有料のため調査対象外とする
サイバーセキュリティ経営ガイドライン NISC 経営者が理解すべきサイバーリスクとその対策を示す 経営者向けのガイドラインであり不適当と考えたため、調査対象外とする
SP 800-53 Rev. 5 NIST 組織と情報システムのためのセキュリティおよびプライバシー管理策 調査対象とする
FedRAMP Continuous Monitoring Strategy Guide 米国連邦政府 クラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを提供 調査対象とする
PCI DSS PCI SSC クレジットカードに関するセキュリティ基準 調査対象とする

調査結果

結果として、具体的な脆弱性診断の頻度について言及した記述はごく少数ということがわかりました。
特に上記について、国内文書では頻度に言及した文書は確認できませんでした。

脆弱性診断の頻度についての言及が確認できたのは下記です。

基準・ガイドライン 発行元 頻度
FedRAMP Continuous Monitoring Strategy Guide 米国連邦政府 OS・Webアプリ・DBなど対象別に「1ヶ月に一度」
PCI DSS PCI SSC v3系では「四半期に一度」、v4系では「3ヶ月に一度」

結論

昨今のサイバー攻撃の高度化や新たな脆弱性の発見頻度を考慮すると、なるべく高頻度もしくは継続的な診断がベストにはなるかと思います。

ただし、調査結果では「定期的な診断」という文言が大半のようなので最低限の水準という意味で「四半期に一度」というのは一定程度は妥当な頻度ではと思われます。

考察

調査した限りでは「四半期に一度」という文言はPCI DSSのv3系にのみ確認できたため、もしかするとこちらが元ネタなのかもしれません。

あとがき

今まで前例主義的に「四半期に一度」というところを意識していましたが、元ネタっぽいものがわかり、少し解像度が上がった気がしています。
ただ、個人的には「四半期に一度」は本当に最低限じゃないかな...と思うので、できれば高頻度・継続的な診断をお勧めいたします。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.