3.7 どのような組織で脆弱性診断が必要とされているのか #

サイバーセキュリティに関する各種ガイドラインにおいて、サイバー攻撃に備えるために脆弱性診断の実施が推奨されています。 例えば、以下のように、政府情報システムに対してどのように脆弱性診断を実施するべきかを詳細にまとめたガイドラインなども公開されています。

政府情報システムにおける脆弱性診断導入ガイドライン

• https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/7fefc9ee/20240206_resources_standard_guidelines_guidelines_01.pdf

上記のような背景から、近年では脆弱性診断の必要性は広く認知されている状況となっています。 ITシステムを利用している多くの企業では、一般的には以下のようなルールを定めて脆弱性診断を実施しているケースが多いでしょう。

• 開発したシステムのリリースや、導入するシステムの受け入れ時などに脆弱性診断を実施
• 年に一回などの間隔で定期的な脆弱性診断を実施

そのため、特に業種などは限定せず、多くの企業にて脆弱性診断の実施が必要とされています。