Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年2月19日
最終更新日:2013年2月22日

脆弱性診断サービスを受ける必要はあるか

前の記事では、Webアプリケーションの脆弱性診断ツールの導入が必要かについてお話しました。今度はセキュリティ企業によるWebアプリケーション脆弱性診断サービスを受ける必要があるかどうかについてお話します。

その前に、Webアプリケーションの脆弱性診断サービスがどの位コストがかかるのかを知っておきましょう。

セキュリティ企業とWebアプリケーションの規模によってコストは変わってきますが、数十万円から数百万円のコストがかかります。これは無視できない金額ですね。プロジェクトの終わりの方で、じゃあ脆弱性診断サービスでも受けてみようかと言って出てくるお金ではありません。

では、これだけのコストがかかる脆弱性診断サービスを受ける必要があるか?

答えは、Webアプリケーションの重要度によって異なります。

全く脆弱性診断を行わないでWebアプリケーションをリリースするということは通常ありえません。企業が脆弱性によって引き起こされるリスクを受容できるとは言えないからです。ですので、開発最低限脆弱性診断ツールによる脆弱性診断を行ったという前提でのお話です。脆弱性診断ツールがないなら、迷わず脆弱性診断サービスを受けることを考えてください。

まず考慮すべきは、脆弱性診断ツールは万能ではないということです。脆弱性診断ツールは、決まった手順でないと動作しないようなものや、1回実行すると同じ ID は利用できないものは苦手です。また、システム間の連携は診断対象外となってしまいます。

ここからは難しい問題になってしまうのですが、脆弱性診断ツールによって脆弱性は基本的になくなっているはずだけれども、それでも残っている「かもしれない」脆弱性の解消のためにお金を払うのかということです。

最初に Webアプリケーションの重要度によって異なると言ったのは、この「かもしれない」脆弱性をなくさなければいけないほど、お金をかけなければいけないほど、対象のWebアプリケーションが重要なのかが問題になってくるからです。

個人情報を扱うようなWebアプリケーションは脆弱性診断サービスを受けるほど重要なものと言えると思います。逆に、脆弱性診断サービスを受けなくていいWebアプリケーションというものは一概に言えず、企業がリスクを受容できる場合は対象になり得ると言える程度でしょう。

ちなみに、脆弱性診断ツールで診断したWebアプリケーションでも、セキュリティ企業の脆弱性診断サービスを受けると大抵脆弱性が見つかっているというのは考慮すべき点です。脆弱性が見つからないものももちろんありますが。

さて、脆弱性診断サービスを受けるとなると問題になるのは、どのセキュリティ企業に脆弱性診断をお願いすればよいのかということです。

知名度の高いセキュリティ企業であれば間違いはなさそうです。ですが、セキュリティ企業の対応レベルは千差万別で、コスト、技術力、柔軟性、レポート、報告会、サポートなど全然違います。こればかりは、複数のセキュリティ企業に声をかけていき、一番しっくりくるセキュリティ企業とお付き合いをするようにするとよいと思います。

  • 脆弱性診断サービスを受けるかどうかはWebアプリケーションの重要度による
  • 脆弱性診断ツールがない場合は必須レベル 
  • セキュリティ企業の選定は重要

スポンサーリンク




カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA