3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

著者　Bizコンパス編集部

脆弱性診断の種類「プラットフォーム診断」「Webアプリケーション診断」

　脆弱性診断サービスは、一般的なWebサイトの構成に従って、診断手法が異なるため、2つに大別されます。OSやミドルウェアを対象に調査を行う「プラットフォーム診断」と、独自に開発されるWebアプリケーションを検査対象とする「Webアプリケーション診断」です。これらを利用してシステムをチェックし、発見された脆弱性を修正することでシステムの安全性を保つというわけです。

脆弱性診断の種類

脆弱性診断サービスを実施するタイミング

　脆弱性診断を受けるタイミングとしては、受入試験や提供判断時、リリース前が挙げられます。特に外部に開発を委託した際には、その受入試験の項目の1つとして脆弱性診断を含めることで、瑕疵担保期間後に脆弱性が発覚し、その修正に追加費用が発生してしまうなどといったトラブルを避けられます。また社内で開発した場合であっても、提供判断やリリース前のタイミングで脆弱性診断を行い、リスクがない状態でリリースすることを意識すべきでしょう。

脆弱性診断のタイミング

　運用後は、プラットフォーム診断がメインとなります。システム改修がない限り、脆弱性のチェック対象は、OSやミドルウェア等の汎用ソフトウェアとなるためです。脆弱性は1日平均30件程度、公表されています。管理対象のシステムに該当する脆弱性はそれほど頻繁に発見されないにせよ、可能な限り短いサイクルでチェックを行いたいところです。機能の追加や更改などシステム改修の際は、改修内容に応じた診断サービスや診断項目を選択すべきです。

3つの失敗例に見る、脆弱性診断サービス選びのポイント