脆弱性診断を実施すべきタイミングとは?年間スケジュールの立て方

脆弱性診断の必要性は理解していても、「いつ実施すればいいのか」「年に何回やるべきか」と悩む担当者の方は多いのではないでしょうか。診断のタイミングを誤ると、システム障害のリスクを見逃したり、逆に費用ばかりかかって効果が得られなかったりする可能性があります。

この記事では、中小企業が押さえるべき脆弱性診断の最適なタイミングと、実務で使える年間スケジュールの立て方を具体的に解説します。限られた予算の中で最大の効果を得るためのポイントをお伝えしますので、ぜひ最後までお読みください。

脆弱性診断を実施すべき5つのタイミング

脆弱性診断は「なんとなく定期的に」実施するのではなく、明確な理由とタイミングに基づいて計画することが重要です。ここでは、企業が診断を実施すべき代表的な5つのタイミングをご紹介します。

システムリリース・更新の前後

新しいWebサイトやシステムをリリースする際、または大規模なアップデートを行う際は、本番稼働前の脆弱性診断が必須です。開発段階で発見できなかったセキュリティ上の欠陥が、本番環境で露呈すると大きなインシデントにつながる可能性があります。

IPAの「安全なウェブサイトの作り方」でも、リリース前の脆弱性検査が推奨されています。特に以下のような更新時には診断を検討しましょう：

• 新規ECサイトの立ち上げ
• 決済機能の追加・変更
• 顧客情報を扱う機能の実装
• 外部APIとの連携開始
• 認証システムの変更

ある製造業の企業では、顧客向けポータルサイトのリリース直前に診断を実施したところ、SQLインジェクションの脆弱性が発見され、リリース延期となりました。しかし、本番稼働後の情報漏洩を未然に防げたため、結果的には大きなコスト削減につながったケースがあります。

重大な脆弱性情報の公開時

使用しているソフトウェアやフレームワークに**重大な脆弱性（ゼロデイ脆弱性など）**が公開された場合、緊急で診断を実施する必要があります。

例えば、2021年末に発覚したLog4jの脆弱性（Log4Shell）では、多くの企業が緊急診断を実施しました。自社システムがその脆弱性の影響を受けるかどうかを迅速に判断し、対策を講じることが求められます。

重大な脆弱性情報を入手する方法：

• JVN（Japan Vulnerability Notes）：国内の脆弱性情報データベース
• JPCERT/CC：緊急脆弱性情報の発信
• ベンダーのセキュリティ情報：使用製品の公式アナウンス
• NISC（内閣サイバーセキュリティセンター）：政府機関の注意喚起

これらの情報源を定期的にチェックし、自社システムに影響がある場合は、速やかに診断ベンダーに相談することをおすすめします。

組織体制・権限変更時

組織変更や人事異動、アクセス権限の見直しを行った際も、脆弱性診断の好機です。特に以下のようなケースでは注意が必要です：

• システム管理者の交代
• 外部委託先の変更
• 退職者のアカウント削除漏れ
• 部門統廃合による権限の再設定

権限管理の不備は、内部不正や情報漏洩の温床になります。組織変更後にアクセス制御が適切に機能しているかを診断で確認しましょう。

ある小売業の企業では、M&Aによる組織統合後、旧社員のアカウントが残っており、不正アクセスのリスクが顕在化していました。診断により発覚し、早急に権限の見直しを実施した事例があります。

コンプライアンス要求時

ISMS（ISO27001）やプライバシーマーク（Pマーク）の取得・更新、あるいは取引先からのセキュリティ監査要求に対応する際、脆弱性診断の実施が求められるケースが増えています。

特に以下の場面では診断結果の提出が必要になることがあります：

• ISMS認証の維持審査
• Pマーク更新時のリスク評価
• 大手企業との取引開始時の条件
• 金融機関や官公庁との取引要件
• GDPR対応など海外展開時のセキュリティ証明

コンプライアンス対応の診断は、認証機関や取引先が求める診断範囲を事前に確認し、求められる報告書形式に対応できるベンダーを選ぶことが重要です。

サイバー攻撃の予兆検知時

不審なアクセスログや、標的型攻撃の予兆を検知した場合、インシデント発生前の緊急診断が有効です。攻撃者に侵入経路を悪用される前に、システムの弱点を発見し塞ぐことができます。

以下のような兆候が見られた場合は、速やかに診断を検討しましょう：

• 不正ログイン試行の増加
• SQLインジェクション攻撃のアクセスログ
• 不審なファイルのアップロード痕跡
• 外部からの脆弱性スキャンの形跡
• フィッシングメールの受信増加

ある医療機関では、Webサイトへの不審なアクセスが急増したため緊急診断を実施したところ、CMSの古いバージョンに起因する脆弱性が発見され、ランサムウェア攻撃を未然に防いだという事例があります。

企業規模・システム別の推奨診断頻度

脆弱性診断は「やればやるほど良い」というものではありません。システムの重要度や扱う情報の機密性に応じて、適切な頻度を設定することがコストと効果のバランスを取るポイントです。

ECサイト・顧客情報データベースの場合

個人情報や決済情報を扱うECサイトや顧客データベースは、四半期に1回または半年に1回の診断が推奨されます。これらのシステムは攻撃者の標的になりやすく、法的責任も重いためです。

推奨頻度の理由：

• 新たな攻撃手法が頻繁に出現する
• 個人情報保護法・改正割賦販売法への対応
• PCI DSS（クレジットカード業界のセキュリティ基準）では年次診断が義務
• システム更新の頻度が高い

あるアパレルECサイトでは、半年ごとの定期診断を実施していたところ、決済システムのアップデート後に新たな脆弱性が発見され、カード情報漏洩のリスクを早期に回避できました。

社内業務システムの場合

社内の業務システム（勤怠管理、経費精算、ワークフローなど）は、年1回の定期診断＋システムの重大更新時の診断が基本です。

外部公開されていないシステムであっても、以下の理由から診断は必要です：

• 内部不正のリスク
• VPN経由での外部アクセスによる侵入リスク
• テレワーク環境での接続増加
• クラウド移行時の設定ミス

特に、コロナ禍以降、テレワーク対応で急きょ外部公開した社内システムに脆弱性が残っているケースが多く報告されています。社内システムだからといって油断せず、定期的な診断を行いましょう。

Webサイト・コーポレートサイトの場合

情報発信が主体のコーポレートサイトやブログは、年1回の定期診断で十分なケースが多いです。ただし、以下の条件に該当する場合は頻度を増やす検討が必要です：

• 問い合わせフォームで個人情報を収集している
• 会員ログイン機能がある
• 採用サイトで応募者情報を扱う
• CMSの自動更新を有効にしている

コーポレートサイトは「情報漏洩リスクが低い」と思われがちですが、改ざん被害やマルウェア配布の踏み台にされるリスクがあります。企業の信用に直結するため、最低でも年1回の診断は実施しましょう。

クラウドサービス利用時の注意点

AWSやAzure、GCP（Google Cloud Platform）などのクラウドサービスを利用している場合、責任共有モデルを理解することが重要です。

責任共有モデルとは：

• クラウド事業者の責任：インフラ（サーバー・ネットワーク・物理セキュリティ）
• 利用者の責任：アプリケーション・データ・アクセス管理・セキュリティ設定

つまり、クラウドだから安全というわけではなく、利用者側で適切なセキュリティ設定や診断を行う必要があります。特に以下の点は利用者側で診断すべき範囲です：

• IAM（Identity and Access Management）の設定
• S3バケットなどのストレージのアクセス権限
• セキュリティグループやファイアウォールの設定
• アプリケーションレベルの脆弱性

クラウド環境の脆弱性診断は、オンプレミスとは異なる専門知識が必要なため、クラウド診断の実績があるベンダーを選ぶことをおすすめします。

実務で使える年間診断スケジュールの立て方

脆弱性診断の理想的なタイミングや頻度がわかっても、実務レベルで「いつ実施するか」をスケジュールに落とし込むのは簡単ではありません。ここでは、システム運用に支障をきたさない年間スケジュールの立て方を解説します。

事業繁忙期を避けた実施時期設定

脆弱性診断は、システムに一定の負荷をかける場合があります。そのため、事業の繁忙期を避けて実施することが鉄則です。

業種別の診断を避けるべき時期の例：

• 小売・ECサイト：年末年始、夏のセール期間、決算セール時期
• 旅行業：ゴールデンウィーク前、夏休み・年末年始の予約繁忙期
• 教育業：入試シーズン、新学期開始時期
• 人事・給与システム：月末月初の給与計算期間、年末調整時期

繁忙期を避けることで、万が一診断中にシステム不具合が発生しても、ビジネスへの影響を最小限に抑えられます。また、診断結果に基づく修正作業の時間も確保しやすくなります。

ある飲食チェーンでは、年末の書き入れ時に診断を実施してしまい、予約システムに一時的な遅延が発生し、顧客からのクレームにつながったケースがあります。繁忙期のスケジュール把握は必須です。

予算確保のタイミング

脆弱性診断の費用は、システム規模にもよりますが、数十万円〜数百万円の予算が必要です。年間スケジュールを立てる際は、予算確保のタイミングも考慮しましょう。

予算確保の現実的なスケジュール：

• 期初（4月）：年間セキュリティ予算として組み込む
• 補正予算（9月頃）：上半期に診断できなかった場合の追加予算
• 緊急予算：重大インシデント発生時の緊急対応費

多くの企業では、前年度末（1〜3月）に次年度予算の稟議を通すため、前年の秋頃から診断計画を立て始めるとスムーズです。また、診断結果に基づく修正費用も別途見積もっておくことが重要です。

診断結果の対応期間を考慮

脆弱性診断は「実施して終わり」ではありません。診断後には、検出された脆弱性の修正作業と、修正後の再診断（リテスト）が必要です。

診断後の対応スケジュールの目安：

• 診断実施：1〜2週間
• 報告書受領：診断終了後1週間程度
• 脆弱性の優先度判定：1〜2日
• 修正作業：重大な脆弱性は即座、中程度は1ヶ月以内
• 再診断（リテスト）：修正完了後1〜2週間

つまり、診断開始から修正完了まで、最低でも2〜3ヶ月の余裕を見ておく必要があります。年度末に診断を実施すると、修正が翌年度にずれ込み、予算や担当者の変更で対応が遅れるリスクがあるため注意しましょう。

システム部門との調整ポイント

脆弱性診断の実施には、システム部門や開発ベンダーとの綿密な調整が欠かせません。特に以下の点を事前に合意しておくことが重要です：

• 診断実施時のシステム負荷の許容範囲
• 診断中のアラート対応（誤検知の除外設定など）
• 診断対象システムへのアクセス権限の付与方法
• 修正作業の優先順位とリソース配分
• 緊急時の連絡体制（診断中のトラブル発生時）

開発ベンダーが別会社の場合、診断結果の共有範囲や修正対応の費用負担についても事前に取り決めておくと、スムーズに進められます。

脆弱性診断のタイミングで失敗しないための注意点

最後に、脆弱性診断のスケジュールを立てる際によくある失敗例と、その回避方法をご紹介します。

診断後の対応を後回しにしない

脆弱性診断を実施しただけで満足してしまい、検出された脆弱性を放置してしまうケースが少なくありません。これは「やらないよりマシ」というレベルで、本質的なリスク軽減にはつながりません。

診断後の放置がもたらすリスク：

• 攻撃者に脆弱性を悪用される
• 診断費用が無駄になる
• 次回診断時に同じ指摘を受け、信頼性が低下
• コンプライアンス監査で「対応不備」と指摘される

IPAの調査によると、脆弱性を認識していながら放置していた結果、情報漏洩インシデントに発展した事例が多数報告されています。診断後は必ず修正計画を立て、期限を設けて対応しましょう。

繁忙期直前の診断は避ける

先述の通り、繁忙期を避けるのは基本ですが、繁忙期直前の診断も避けるべきです。なぜなら、診断で脆弱性が見つかっても、繁忙期に突入してしまうと修正作業ができず、リスクを抱えたまま運用を続けることになるからです。

理想的なスケジュール：

• 繁忙期の3〜4ヶ月前に診断を実施
• 診断後1〜2ヶ月で修正作業を完了
• 繁忙期の1ヶ月前に再診断（リテスト）で安全性を確認
• 余裕を持って繁忙期に備える

繁忙期直前に診断を実施してしまったある小売企業では、セール期間中に脆弱性を抱えたまま運用せざるを得なくなり、社内で大きな不安が広がったという事例があります。

診断ベンダーの繁忙期を把握する

脆弱性診断ベンダーにも繁忙期があります。一般的には、**年度末（2〜3月）と年始（1月）**が混雑する傾向にあります。この時期は、多くの企業が年度内の予算消化や新年度の準備で診断を依頼するためです。

繁忙期に依頼するデメリット：

• 診断の実施日程が希望通りに取れない
• 報告書の納品が遅れる可能性
• 質問や追加依頼への対応が遅くなる
• 料金が通常より高くなる場合がある

可能であれば、4〜6月や9〜11月の比較的空いている時期に診断を依頼すると、スムーズに進みやすくなります。複数のベンダーに見積もりを取る際も、繁忙期を避けた方が丁寧な対応を受けられるでしょう。

まとめ

この記事では、脆弱性診断を実施すべきタイミングと、年間スケジュールの立て方について解説しました。重要なポイントは以下の3つです：

• 診断すべきタイミングを見極める：システムリリース・更新時、重大な脆弱性公開時、組織変更時、コンプライアンス要求時、サイバー攻撃の予兆検知時の5つを基本とし、自社の状況に応じて判断しましょう。
• システムの重要度に応じた頻度を設定する：ECサイトや顧客情報データベースは四半期〜半年に1回、社内業務システムは年1回＋重大更新時、コーポレートサイトは年1回を目安に、自社のリスク許容度と予算に合わせて計画してください。
• 事業スケジュールと予算を考慮した計画を立てる：繁忙期を避け、診断後の修正期間を確保し、ベンダーの繁忙期も把握した上で、年間スケジュールに組み込むことが成功の鍵です。

脆弱性診断は「やりっぱなし」ではなく、診断後の修正対応まで含めた一連のプロセスとして捉えることが重要です。まずは自社の優先度が高いシステムから、年間診断スケジュールを組み立てることから始めてみてください。適切なタイミングで診断を実施することで、限られた予算の中で最大のセキュリティ効果を得られるでしょう。