Webアプリケーションの脆弱性診断には、Webセキュリティのプロによる診断を専門業者に外注する方法や、目的に応じて診断ツールを使う方法など、いくつかの選択肢があります。
≫ 「脆弱性診断の方法」
しかし残念ながら現状では、コスト、手間、時間、手軽さ、網羅性、カスタマイズ性など、脆弱性診断に求められる多様なニーズをすべて満たす診断方法はありません。そのため、脆弱性診断を導入する必要性を自社内の各部門や委託元/委託先が共通の認識として持っている場合でも、いざ具体的な診断方法や役割分担、スケジュールを検討しはじめると、立場や認識の違いからスムーズに進まなくなったり、一度は導入したものの継続的な対策として確立できないといったケースがよく見受けられます。
ここでは、脆弱性診断に取り組む多くの企業、特に開発部門の方が陥りがちな課題やジレンマについて、その代表的なものをご紹介します。
Webアプリケーション開発の受発注時に、現状では規模の大小を問わずまだまだセキュリティ要件が明確に定義されていない案件が多いようです。そのため、開発者の意図しないところで、「セキュリティは当然対策しているでしょ?」「脆弱性診断も含まれた開発案件だ」と考えている発注者は少なくありません。リリース直前に誰かが気づき、診断スケジュール確保や予算不足に悩まされることも・・・
そうした場合、誰がどの部分について診断実施と検収の責任を持ち、追加費用やスケジュール遅延の責めを負うのかをめぐって現場が混乱するケースもよく見られます。リリース後にアプリケーションを改修する場合は、改修の都度こうした問題が再現することとなります。
社内にセキュリティ部門が設置されていない多くの企業では、脆弱性診断特有の専門性の高さから、社内の開発者に対応を求めるには限界があります。セキュリティ診断スキルを持つエンジニアを確保/育成するのは非常にコストと時間が掛かりますし、専門機関への診断を依頼するだけでも、窓口となる開発部門の担当者は開発業務で忙しい中、事前準備等で多大なリソースを要求されることとなります。
少なくとも開発からリリースまでのスケジュールが短い場合は、開発者だけで専門的な診断を行う方法は対策として現実的ではありません。
専門家による脆弱性診断の費用は一回あたり100万円を超えることも珍しくありません。案件によっては、予算不足で追加開発のたびに脆弱性診断外注の費用をかけることが難しいものもあります。また、リリース直前に深刻な脆弱性が見つかってしまい、修正のスケジュールでリリースに間に合わないなんていうケースも・・・
セキュリティのプロによる手動での脆弱性診断は、見つけにくいものも含めて幅広い脆弱性を網羅的に検出することに重点を置いたサービスですが、これに頼るだけでは上記のような課題、ジレンマを解決することはできません。また、脆弱性対策は0点か100点かではなく、実現できることから今すぐ着手して向上させていくことが重要です。
そのためには、現実的な予算・人員・時間を念頭に置いて、条件に合った診断ツールを自社内で活用することを検討いただくことが有効です。
脆弱性診断ツールを利用することで、自身で開発したWebアプリケーションの脆弱性診断を自身の手元で行うことができるため、リリースに合わせたスケジュール調整が容易になります。
また、手動診断の費用と比べ大幅なコスト削減が可能となります。
私たちがとくに勧めているのは、検査ツールと手動脆弱性診断の併用です。開発者自身が行う日々の脆弱性診断と、半年に一度程度の定期的な手動脆弱性診断で、効率よく、より効果的なセキュリティ対策を。
VAddyは開発現場の声から生まれた開発者のための脆弱性診断ツールです。
VAddyの脆弱性診断は手軽、高速、そして正確です。操作が簡単なので、セキュリティエンジニアでない開発者でも、自身で手軽に脆弱性診断を行うことができます。
脆弱性診断ツールの中には数時間~1日かかるものもありますが、VAddyは検査項目を絞ることで、平均検査時間12分という他のツールにはない高速検査を実現しています。
脆弱性診断の専門企業である株式会社SHIFT SECURITY様ご協力のもと、VAddyの基本プランに脆弱性対応サポートや手動脆弱性診断に利用いただける診断チケットを加えた、VAddy Professional+ / Enterprise+ プランを提供いたします
脆弱性診断のプロがサポート!VAddy Professional+ / Enterprise+ プラン