脆弱性診断を受けるタイミングとしては、受入試験や提供判断時、リリース前が挙げられます。特に外部に開発を委託した際には、その受入試験の項目の1つとして脆弱性診断を含めることで、瑕疵担保期間後に脆弱性が発覚し、その修正に追加費用が発生してしまうなどといったトラブルを避けられます。また社内で開発した場合であっても、提供判断やリリース前のタイミングで脆弱性診断を行い、リスクがない状態でリリースすることを意識すべきでしょう。
脆弱性診断のタイミング

運用後は、プラットフォーム診断がメインとなります。システム改修がない限り、脆弱性のチェック対象は、OSやミドルウェア等の汎用ソフトウェアとなるためです。脆弱性は1日平均30件程度、公表されています。管理対象のシステムに該当する脆弱性はそれほど頻繁に発見されないにせよ、可能な限り短いサイクルでチェックを行いたいところです。機能の追加や更改などシステム改修の際は、改修内容に応じた診断サービスや診断項目を選択すべきです。