官公庁向けシステムにおける脆弱性診断を実施 本番環境・深夜対応を含むセキュリティ診断体制を構築

厳格なセキュリティ要件と、コストという現実

自治体が住民向けに提供するデジタルサービスは、電子申請や各種手続きの受付など、 行政の機能を担うシステムであり、高い可用性と安全性が求められます。

株式会社NTTデータ関西様が提供する自治体向けクラウドサービスにおいても、 Webアプリケーション診断およびネットワークペネトレーションテストの 定期的な実施が求められています。

一方で、継続的に実施される診断においては、コストも重要な考慮要素となります。
診断品質の維持と継続的な実施を両立するためには、 コスト面での検討も必要となります。

本番環境で、深夜に診断する

今回の診断対象は、電子申請関連システムおよび住民向け受付サービスです。

電子申請関連システムに対しては、 Webアプリケーション診断に加え、 ネットワークペネトレーションテストを実施しています。

診断は基本的に日中（9:00〜18:00）に実施しつつ、 ネットワークペネトレーションテストについては、 住民向けサービスへの影響を考慮し、 21時から翌3時の時間帯で実施しました。

本番環境の構成および通信経路を対象とすることで、 実際の環境に即した検証を行っています。

品質はそのままに、コストを見直す

診断項目・基準・範囲は、 従来と同等の水準を維持したうえで実施しました。

セキュリティ診断においては、 検証範囲の縮小がリスクの見落としにつながる可能性があるため、 診断品質の維持が重要となります。

本取り組みにおいては、 従来と同等の診断内容を維持したまま、 コスト面の見直しを行っています。

継続することの意味

本取り組みでは、 定期的な診断の実施を前提とした対応が行われています。

システムは運用を通じて変化するため、 単発の診断のみでは継続的な安全性の確保は困難です。
定期的な診断を実施することで、 環境の変化に応じたリスクの把握と対応が可能となります。
特に継続的な運用が求められるサービスにおいては、 診断の積み重ねが安定した運用の一助となります。

ご評価いただいたポイント

本番環境での診断や深夜帯での対応など、 制約のある条件下でも、 運用影響を抑えながら実施できる体制を整備しました。

また、事前調整や柔軟な対応を含め、 継続的な診断運用を見据えた取り組みについても ご評価をいただいています。

お問い合わせ

このような課題は、多くのシステムに共通して見られます。

• 本番環境での診断実施に不安がある
• サービス影響を考慮すると実施判断が難しい
• 継続的な診断におけるコストが課題となる

SynXでは、ご要件や運用状況に応じた脆弱性診断のご提案が可能です。 まずはご相談ベースでも問題ありませんので、 お気軽にお問い合わせください。