Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年2月19日

脆弱性診断ツールを導入する必要はあるか

Web アプリケーションの脆弱性をなくすための取り組みの1つとして、脆弱性診断ツールを導入して自分たちで脆弱性診断を行うというものがあります。ですが,、脆弱性診断ツールは導入に数百万円、毎年の保守に数十万円もします。

では、自分の組織に脆弱性診断ツールを導入する必要はあるでしょうか?

答えは組織の状況によって違います。

答えになってませんね(笑)。

自社サービスを展開している場合は、そのサービスが個人情報などの情報漏えいを起こした場合にどの程度の被害額があるのかを考えてみるとよいと思います。

例えば、1万人程度の規模のサービスで個人情報が漏洩した際、一人あたり1,000円の金券を配るとそれだけで1,000万円もかかります。配送料や信用の失墜による会員の減少も見過ごせないでしょう。

そう考えると、人月100万円で考えれば数人月程度のコストでリスクを回避できる可能性があるならば、十分元がとれると言えます。複数のサービスを展開していれば効果はより大きくなります。脆弱性診断ツールは、自社内で利用する分には何回使用してもコストは変わりませんので。

一方、受託開発を行なっている企業はどうでしょうか。受託開発の場合、顧客の要請がなければ脆弱性診断を行う必要がない気もします。ですが、提案時に提案オプションとして脆弱性診断ツールによる脆弱性診断を付けられると言えれば、昨今の状況からすると魅力的な提案となりビジネスチャンスが広がります。

この場合は、その企業の案件数が一定量以上あれば、コストを分散でき導入のメリットがあるでしょう。

では、脆弱性診断ツールを導入しなくていい場合というのはあるでしょうか?

答えはそういう場合もありえます。例えば、自社で脆弱性診断ツールを購入するより、単発で外部の脆弱性診断サービスを利用した方が安上がりという場合です。また、自社で脆弱性診断要員を確保できない場合も該当するでしょう。

このように脆弱性診断ツールは導入するメリットの方が大きいことは大きいのですが、企業が置かれている状況によって導入する必要があるかどうかが決まります。

ここまで一般的な話をしてきましたが、少し具体的な製品に触れてみましょう。

Webアプリケーションの脆弱性診断ツールには、ホワイトボックス型とブラックボックス型の2種類のタイプがあります。ホワイトボックス型はソースコードの中身を見て診断するもので、ブラックボックス型はソースコードなどの中身は見ずにWebアプリケーションの外側の振る舞いからだけで診断するものです。

ホワイトボックス型のソースコードの脆弱性診断ツールで有名なものは Fortify というものがあります。ただ、いつの間にか HP に買収されたようでよく分からないサイトになってしまってますね。

ブラックボックス型の脆弱性診断ツールで有名なものは、AppScan と HP WebInspect でしょうね。

具体的な製品選定で重要になってくるのは、コストだけでなく、最新の脆弱性に対応しているのか、サポートは充実しているのかという部分です。また、できることだけでなく、できないことを確認しておくのも重要です。

このようにして具体的な製品を比較検討して脆弱性診断ツールを導入することになります。

  • 脆弱性診断ツールを導入する必要があるかは状況により異なる
  • 脆弱性診断ツールは高価だがそれ以上の導入メリットはある

スポンサーリンク




カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA