セキュリティチェックシートとは？

セキュリティチェックシートとは、契約先の情報セキュリティ対策の評価や監査プロセスで使用される重要な書類の一つです。
セキュリティチェックシートに回答できない場合、本契約まで進めないケースもあるので準備が必要です。

セキュリティチェックシートの目的

契約先から依頼されるセキュリティチェックシートには、サーバーやネットワーク、アプリケーションといった情報システムに直接関係するもの以外にも、ユーザーデータを安全に保管・管理する社内体制といったところまで、幅広い領域について書かれています。委託先（この場合はサービス提供者や開発会社）のセキュリティ対策が適切に行われているかを確認することで、不正アクセスなどのリスクから自社を守るという目的もあります。

セキュリティチェックシートの項目の1つである
「Webアプリケーションの脆弱性診断」とは？

セキュリティチェックシートの項目に「Webアプリケーションの脆弱性診断」が設定されている場合があります。Webサイトの納品時やWebサービスの契約時にそれらが自社のセキュリティ要件を満たすかどうかを事前に確認するためにエンドユーザーから求められます。

脆弱性診断が未経験の場合、まず確認しておきたい5つのポイント

• 誰が脆弱性診断を行うのか
• 自社の脆弱性診断の予算はどの程度なのか
• 脆弱性診断に具体的な基準はあるのか
• 自社の開発サイクルのスピードと合う脆弱性診断なのか
• 適切なサポートを受けられるのかどうか

脆弱性診断には「手動脆弱性診断」と「脆弱性診断ツール」がある

契約時にセキュリティチェックシートへの記入を求められていて、なおかつ項目に「Webアプリケーションの脆弱性診断」の項目がある場合の対処方法は2パターンあります。

• 手動脆弱性診断
  セキュリティのプロフェッショナルやセキュリティベンダーに相談し、プロジェクトの具体的な要件に基づいて診断範囲と内容を詳細に計画した脆弱性診断を行います。
  手動脆弱性診断の期間は、数週間から数ヶ月になることもあり、費用は診断項目の範囲と深さに依存するものの、数百万円以上になることも珍しくありません。セキュリティチェックシートで第三者による脆弱性診断の実施が厳密に指定されていた場合は、手動脆弱性診断を選ぶことになります。
• 脆弱性診断ツール
  初めてセキュリティチェックシートを依頼された場合、予算と時間が確保されていないことがほとんどです。そこで選択肢に入るのが、診断を自分たちで実施するための脆弱性診断ツールです。従来の脆弱性診断ツールはセキュリティ専門家のためのものでしたが、近年は、経験のないユーザーでも使いやすく、設定や分析が直感的に使えるものが増えてきており、予算、時間、教育コストの面などで効率的に脆弱性診断を実施したい場合に選ばれることが増えています。

脆弱性診断ツールVAddyができる「セキュリティチェックシート」の対応

実はVAddyオンライン個別相談会に参加されるお客様の半数近くがセキュリティチェックシート対応を急がれている方です。年間契約が前提の一般的な診断ツールと異なり、VAddyは月単位で契約ができるので、「目の前のセキュリティチェックシートに対応するために数回診断できれば十分」というお客様に支持されています。セキュリティチェックシートの項目に「Webアプリケーションの脆弱性診断」が設定されていて何から始めればいいかわからない場合にも、オンラインマニュアル、チャットサポート、オンライン相談会などお客様のレベルに合わせたサポートを提供しています。実際、VAddyを利用される方の8割は脆弱性診断を未経験で導入しています。

脆弱性診断が未経験でもVAddyならすぐに導入できるポイント

• セキュリティ専門家ではなくてもスキル不要で誰でも使える
• 最上位プランでも月額99,800円と料金プランが明確
• IPA（独立行政法人 情報処理推進機構）の安全なWebサイトの作り方に準拠した診断が可能
• 無料アカウント作成後、早ければ当日中に診断が完了できる。
• VAddy開発チームが直接対応するチャットサポートを日本語で受けられる

状況別、予算の段階に応じた診断方法の選択

Webアプリケーションをサイバー攻撃から守るセキュリティ対策は複数存在していますが、その中の脆弱性診断でも幾つかのやり方が存在します。これまで脆弱性診断を実施していなかった場合、担当者がそれらを一から調査するだけでも手間が掛かることがわかると思います。
ここでは、ベーシックな脆弱性診断の費用から検査対象のWebアプリケーションの状況に合わせた診断の組み合わせ例まで一通りご紹介します。