関係者間の誤解や認知のズレ

Webアプリケーション開発の受発注時に、現状では規模の大小を問わずまだまだセキュリティ要件が明確に定義されていない案件が多いようです。そのため、開発者の意図しないところで、「セキュリティは当然対策しているでしょ?」「脆弱性診断も含まれた開発案件だ」と考えている発注者は少なくありません。リリース直前に誰かが気づき、診断スケジュール確保や予算不足に悩まされることも・・・
そうした場合、誰がどの部分について診断実施と検収の責任を持ち、追加費用やスケジュール遅延の責めを負うのかをめぐって現場が混乱するケースもよく見られます。リリース後にアプリケーションを改修する場合は、改修の都度こうした問題が再現することとなります。

専門性の壁

社内にセキュリティ部門が設置されていない多くの企業では、脆弱性診断特有の専門性の高さから、社内の開発者に対応を求めるには限界があります。セキュリティ診断スキルを持つエンジニアを確保/育成するのは非常にコストと時間が掛かりますし、専門機関への診断を依頼するだけでも、窓口となる開発部門の担当者は開発業務で忙しい中、事前準備等で多大なリソースを要求されることとなります。
少なくとも開発からリリースまでのスケジュールが短い場合は、開発者だけで専門的な診断を行う方法は対策として現実的ではありません。

費用と時間の課題

専門家による脆弱性診断の費用は一回あたり100万円を超えることも珍しくありません。案件によっては、予算不足で追加開発のたびに脆弱性診断外注の費用をかけることが難しいものもあります。また、リリース直前に深刻な脆弱性が見つかってしまい、修正のスケジュールでリリースに間に合わないなんていうケースも・・・

脆弱性診断ツール併用の提案

セキュリティのプロによる手動での脆弱性診断は、見つけにくいものも含めて幅広い脆弱性を網羅的に検出することに重点を置いたサービスですが、これに頼るだけでは上記のような課題、ジレンマを解決することはできません。また、脆弱性対策は0点か100点かではなく、実現できることから今すぐ着手して向上させていくことが重要です。
そのためには、現実的な予算・人員・時間を念頭に置いて、条件に合った診断ツールを自社内で活用することを検討いただくことが有効です。

脆弱性診断におけるコスト問題の課題解決に

脆弱性診断ツールを利用することで、自身で開発したWebアプリケーションの脆弱性診断を自身の手元で行うことができるため、リリースに合わせたスケジュール調整が容易になります。
また、手動診断の費用と比べ大幅なコスト削減が可能となります。

クラウド型Web脆弱性診断ツールVAddyを導入した脆弱性検査の例
従来の脆弱性診断だと数日から数週間かかっていたのが、VAddy導入後は脆弱性診断のスピードが上がりセキュリティ対策済みのサービスを早くリリースできます

日々の検査と定期診断の組み合わせでセキュリティ対策を万全に

私たちがとくに勧めているのは、検査ツールと手動脆弱性診断の併用です。開発者自身が行う日々の脆弱性診断と、半年に一度程度の定期的な手動脆弱性診断で、効率よく、より効果的なセキュリティ対策を。

VAddyをおすすめする理由

VAddyは開発現場の声から生まれた開発者のための脆弱性診断ツールです。
VAddyの脆弱性診断は手軽、高速、そして正確です。操作が簡単なので、セキュリティエンジニアでない開発者でも、自身で手軽に脆弱性診断を行うことができます。
脆弱性診断ツールの中には数時間~1日かかるものもありますが、VAddyは検査項目を絞ることで、平均検査時間12分という他のツールにはない高速検査を実現しています。

選ばれる理由

専門家の手による手動診断を追加した新プラン登場

脆弱性診断の専門企業である株式会社SHIFT SECURITY様ご協力のもと、VAddyプロフェッショナルプランに脆弱性対応サポートや手動診断をパッケージ化した上位プラン、VAddy Platinum / Platinum+ プランを提供

脆弱性診断のプロがサポート!VAddy Platinum / Platinum+ プランが登場!