はじめに

社会全体のデジタルトランスフォーメーションが加速し、我々を取り巻く様々な分野においてICTの利活用が進んでいる。他方、サイバー攻撃はその発生頻度の増加と高度化が続く状況下にあり、サイバーセキュリティ対策のさらなる強化が不可欠となってきている。こうした中で、政府情報システムに対しても、今後、サイバー攻撃の脅威は高まっていくことが予想される。

政府情報システムは国民生活や行政の活動の根幹を支える基盤であり、これらのシステムにおけるインシデントは社会基盤の機能停止に直結するリスクがある。このため、令和3年度に閣議決定されたサイバーセキュリティ戦略[^1]に基づき、任務及び機能の自律性の毀損に繋がるおそれのあるサイバー空間の脆弱性を把握し、その信頼性確保に向けた取り組みが必要となる。

多くの政府情報システムでは、これまでにも脆弱性やセキュリティリスクの特定を目的として脆弱性診断を導入してきているが、その診断対象や診断サービスの選定に明確な基準や指針があるとは言えない状況にある。

脆弱性診断の実施においては、診断に対する正しい理解を持ち、高度な専門性に加え、安全性確保のための体制を有する適切なセキュリティベンダーから診断サービスを調達する必要がある。また、診断の手法は多岐に渡り、一つの手法でシステムのセキュリティリスクの全体像を把握することは困難であることから、適切な診断手法を組み合わせて行う必要がある。さらに、脆弱性診断は実施するだけでなく、検出されたセキュリティリスクを基点としてシステムや組織の弱点を見直し、セキュリティの実施計画の改善や強化につなげることが重要となる。このような観点を踏まえ、本書では、政府情報システムの関係者が脆弱性診断を円滑かつ効果的に進めるための基準及びガイダンスを提供する。

目的とスコープ

本書は、政府情報システムに対する脆弱性診断を効果的に実施することを目的として、政府情報システムの管理責任や各機関のセキュリティ管理を担う職員に対して、脆弱性診断を実施する際の基準及びガイダンスを提供するものである。各機関では、本書を参考に脆弱性診断の実施計画の立案、調達を行うことが望ましい。また、既に脆弱性診断を実施している機関では、実施してきた診断内容を見直す際の参考にすることが望ましい。

本書で述べる基準は令和5年度版の「政府機関等のサイバーセキュリティ対策のための統一基準群[^2]」(以下、「統一基準群」という。)の「政府機関等の対策基準策定のためのガイドライン(令和5年度版)[^3]」における「脆弱性検査を含む情報セキュリティの観点での試験を実施」(基本対策事項 5.2.2(1)-1 f))やウェブアプリケーションを運用段階へ移行する前に実施する「脆弱性診断」(基本対策事項 6.6.1(3)-2)、アプリケーション・コンテンツの運用時における「定期的に脆弱性対策の状況を確認」(遵守事項 6.6.1(4)(b))、ソフトウェアに関する脆弱性対策を目的とした「脆弱性診断」(基本対策事項 7.2.1(1)-1)並びに「定期的な脆弱性診断」(基本対策事項 7.2.1(1)-6)における実施基準としての活用を想定する。また、「自己点検の実施」(遵守事項 2.3.1(2)(a))を背景に点検の手段として脆弱性診断を行う際や、情報セキュリティ監査における「実際の運用が情報セキュリティ関連規定に準拠していること」(基本対策事項2.3.2(2)-2 c))の確認手段として脆弱性診断を取り入れる際の実施基準としての活用も想定に含む。

適用対象

本書は、政府情報システムにおいて広く導入されている以下の3種類の脆弱性診断を適用対象とする。

  • プラットフォーム脆弱性診断(以下、「プラットフォーム診断」という。) サーバやネットワーク機器等に対して行う脆弱性診断を示す。

  • Webアプリケーション脆弱性診断(以下、「Webアプリ診断」という。) Webアプリケーション(以下、「Webアプリ」という。)やWeb アプリケーションプログラミングインターフェイス(以下、「Web API」という。)に対して行う脆弱性診断を示す。後者のWeb APIに対する診断はAPI診断等のサービス名称で提供されることがあるが、本書では同義のものとして扱う。

  • スマートフォンアプリケーション脆弱性診断(以下、「スマートフォンアプリ診断」という。) Google AndroidやApple iOS/iPadOS端末上で動作するスマートフォンアプリケーション(以下、「スマートフォンアプリ」または「アプリ」という。)に対して行う脆弱性診断を示す。

     なお、本書は脆弱性診断の導入に対する理解を深めるための参考文書であり、適用の遵守を求めるものではない。

位置づけ

本文書は、標準ガイドライン群のInformative(情報提供)のレベルの参考文書である。

本書の構成

章では、脆弱性診断を推進する上で必要となる基本的な事項を概説する。はじめにシステムの脆弱性対策における脆弱性診断の位置付けを示し、次に脆弱性診断の手法の違いや診断サービスを選定し実施する上での留意事項を示す。

章では、章を踏まえ、政府情報システムにおける脆弱性診断の実施基準を示す。この中では、システム開発段階で実施する診断に加え、自己点検や情報セキュリティ監査を目的として定期的に脆弱性診断を行う際の実施要件も示す。