たしかにSecureNavi上のルール例は「インシデントの発生が、会社にとって大きなインパクトをもたらすシステムに対しては、定期的(目安として年1回)、第三者のぜい弱性診断を受審する。」としていますが、外部の検査がマストというわけではありません。
例えば以下ようなの選択肢があります
- 外部の脆弱性診断を受診(推奨)
- 脆弱性診断ツール(ペネトレーションテストツール、有償・無償あり)を用いてテスト環境で自己診断
- 知見のある担当者による自己診断
- IPAセキュリティ白書やIPA提供資料に基づき自己診断
自己診断といえどハードルの高い作業ですが、審査としては自己診断の品質まで問われることはありません。
システムやウェブサイトの脆弱性はしばしば報道される対象のため、コストをかけて高品質なテストをするのが理想ではありますが、コスト見合いで以下のような検討をいただければと思います。
- 予算が許されるならばペネトレーションテストを外注する
- もう少し安価にすると、社内担当者に外部講習など必要知識を備えて自己診断
- 全く予算をかけないならば、できるだけ知見のある担当者がIPA情報に基づいて自己診断
また、18.2.3では自社のシステムのセキュリティ設定が守られていることを確認するのが目的であるため、技術的な診断がどうしても難しい場合は、「インシデントの発生が会社にとって大きなインパクトをもたらすシステムに対しては、年1回、内部でシステム監査を実施し、セキュリティの状況を確認する」というルールを設定することも方法の一つです。