なぜ依頼企業も脆弱性診断の知識が必要なのか?
ベンダー任せでは済まない時代。依頼者側が知るべきリスクと対策を解説
SecDevLab研修「一番わかる!脆弱性診断活用講座」より
実際の企業研修で使用している内容を公開
「ベンダーに任せておけば安心」は危険な思い込み
多くの企業が脆弱性診断を「専門ベンダーに丸投げすれば安全」と考えていますが、 これは大きな誤解です。依頼者側の知識不足が原因で、深刻なリスクが生じる事例が増加しています。
実際に起き得る問題
- • 曖昧な指示により、ベンダーが診断スコープ外を攻撃してしまう
- • 個人情報を含む診断結果が不適切にコピーされる
- • 監査で脆弱性診断の手続き不備を指摘される
- • 本番環境への過負荷でサービス停止、顧客への影響発生
依頼者が直面する3つの重大リスク
法令違反リスク
スコープ外侵入を指示すると関連法令への抵触リスクがあります。
具体例
「できるだけ深く攻めてください」のような曖昧な指示
情報漏えいリスク
取得した個人データが外部流出した場合、説明責任を問われ、監査で指摘を受けるリスクがあります。
具体例
診断結果のスクリーンショットに顧客情報が含まれていた
コンプライアンス不備
セキュリティ監査・認証審査で手続き不備を指摘され、是正要求や最悪の場合は取引停止リスクが生じます。
具体例
脆弱性診断の実施記録・承認手続きが不十分
リスク領域と依頼者への具体的影響
| リスク領域 | 依頼者への具体影響 |
|---|---|
| 法令違反 | スコープ外侵入を指示すると助長とみなされる恐れ |
| 情報漏えい | 取得した個人データが外部流出 ⇒ 説明責任・監査指摘 |
| コンプラ不備 | セキュリティ監査・認証審査で是正要求、取引停止リスク |
依頼者が実施すべき対策ポイント
基本原則
依頼内容とルールを可視化し、ベンダーまかせにしない体制をつくる
1. スコープの明確な定義
「深く攻めていい」などの曖昧な表現は避け、具体的な範囲を明示します。
良い例
- • 対象IPアドレス範囲:192.168.1.1-192.168.1.100
- • 対象ドメイン:test.example.com のみ
- • 除外対象:本番データベースサーバー
2. 契約内容の詳細化
診断手法、負荷制限、緊急時対応などを契約書に明記します。
記載すべき項目
- • 診断手法と攻撃深度の制限
- • 負荷上限(帯域・CPU使用率等)
- • 個人情報の取り扱い方法
- • 緊急時の連絡体制
3. 環境選択の戦略的判断
法的・契約的リスクを考慮した診断環境の選択が重要です。
Staging環境のメリット
- • 個人情報関連法令の懸念が低い
- • サービス停止リスクが大幅に低減
- • SLA・賠償条項の対象外
本番環境での注意点
- • 負荷上限を数値で定義
- • 業務閑散時間帯に限定
- • 即時連絡・停止体制の整備