Interop Tokyo 2022出展レポート

【保存版】失敗しないWebセキュリティ診断サービスの比較・選び方の3つのポイントを解説!

シェア ツイート

サイバー攻撃や、個人情報流出などの事件が相次ぐ昨今。自社のセキュリティ対策は万全なのかどうか検証するために、セキュリティ診断を行おうと思われる企業も多いのではないでしょうか。

しかし、セキュリティ診断サービスの診断規模や診断手法、報告書の有無など提供している内容や料金は多岐にわたり、また、セキュリティ診断会社の規模も大手企業からベンチャー企業までとさまざまです。

診断サービスについて、こんな考えをお持ちではないですか?

「報告書なんてどこも同じでしょ?」
「必ずお金をかけてしっかりと行えば大丈夫なはず!」
「いつもの会社に頼んでおけば間違いない!」
「ツールの診断だけやっとけば十分?」
「安い料金を選べばいいよね!」

といったお考えをお持ちの方もいらっしゃると思いますが、このように選んでしまうと期待していたサービスを受けられなかったり、せっかく費用をかけて診断したのに脆弱性が見つけきれなかったり、ということにもなりかねません。

この記事ではWebセキュリティ診断サービスを選ぶときに確認すべきポイントを詳しく解説します。

ポイント① 診断会社にも得意不得意あり。プロジェクトに合わせて複数社の使い分けがおすすめ!

診断会社と一口に言っても、だれでも知っている大手企業の場合や、SI企業が事業の一環として行っている場合、ベンチャー企業の場合もあります。

大企業や専門企業の場合は、大規模な案件でも対応することが可能ですが、費用が高額であるため、小規模案件には向かないという特徴があります。

反対に、ツールのみの診断で簡単な報告書のみを行う企業は、費用は安価に済みますが、脆弱性の危険度や再現方法、対策などについての相談はサービスに含まれていないため、開発者がセキュリティに精通していない場合は不向きと言るでしょう。

診断会社によって得意とする診断規模が異なりますので、プロジェクトの規模に合わせて診断会社を選ぶことをおすすめします。

診断会社に「報告書の内容」と「サポートの内容」は必ず聞いてみましょう!

料金が安価なサービスは、脆弱性の概要や発生箇所などをツールで自動出力されているだけの簡単な報告書のみということがほとんど。開発担当者がセキュリティに精通していない場合は、懸念される脅威や危険度、再現方法、対策まで報告書として提供してくれるサービスを選ぶとよいでしょう。

また、セキュリティ診断は、脆弱性が見つかって終わり、ではありません。脆弱性が無くなるまで相談でき、寄り添ってサポートしてもらえると安心できます。診断会社によっては再診断を無料でやってくれる場合もありますので、あなたが求めるサポートがあるかどうか確認してみましょう。

ポイント② ツール診断が検出するのは「脆弱性の可能性」だけ? 手作業の診断との違いを正しく理解しましょう!

セキュリティ診断の方法には「ツール診断」と「手作業の診断」の2つがあり、ツールで検出できるのはあくまで「脆弱性の可能性」です。そのため、本当の脆弱性かどうかをご自身で精査する必要があります。ツールと手作業のハイブリッド診断を行う企業では、この手作業による精査を実施してくれます。さらにツールでは検出できない「脆弱性」も検出できます。

サービスによっては、手動診断はオプション料金となっている場合などもありますので、しっかり確認するようにしましょう。

※ツール診断と手作業での診断の違いについてはこちらの記事でも解説しておりますので、よろしければご覧ください。

ポイント③ 安さには理由がある!?料金だけではなくサービスの内容に目を向けましょう!

診断サービスを選ぶ基準には、

  • 診断の手法(ツール/手作業/ハイブリッド)
  • 報告書の内容
  • 報告会の有無
  • 土日・夜間・緊急時の対応の可否
  • 脆弱性を発見した場合のサポート体制

など、さまざまな観点があります。料金を安く診断が実施できても「ツール診断の結果の英文を機械翻訳した報告書だけ渡されて、理解ができなかった」となればもったいないです。サービス料金だけではなく、求めているサービス内容にマッチしているかをきちんと確かめましょう!

診断会社に聞いてみましょう!「安さの秘密はなんですか?」

料金が安い場合、必ずその理由がありますので、その理由を聞いてみましょう。その理由による影響が許容できる、または対策を講じることができるのであればメリットが大きいです。

注意点:いつも同じ企業に依頼していると、そこが本当にいいか分かりません

「以前頼んだ診断サービスの対応が良かったからまたお願いしよう」と思ってしまうものですが、いつも同じ企業に頼むという選び方はおすすめしません。

なぜなら「別の企業に依頼したら以前の見落としも見つかった」というケースもあるからです。また、以前診断してもらったプロジェクトと今回依頼したいプロジェクトの特性や求めるサービスは異なるかもしれません。依頼先は複数確保しておき、プロジェクトの特性に合わせてうまく使い分けましょう!

まとめ

Webセキュリティ診断サービスの選び方のポイントは次の3つになります。

  1. プロジェクトに合わせて診断会社を選び、コストを最適化しましょう!
  2. ツール診断と手作業の診断の特性を理解しましょう!
  3. 料金の差だけではなくサービスの内容に目を向けましょう!

せっかく費用や時間をかけて行うセキュリティ診断。求めているサービスが受けられるよう、ぜひご参考にしてみてくださいね。

当社、信興テクノミストもセキュリティ診断サービスを提供しております。ハイブリッドWebセキュリティ診断「ABURIDA™」では、熟練のセキュリティ診断員による高精度なハイブリッド診断を行い、診断後も脆弱性が無くなるまで寄り添う姿勢でサポートいたします。 ご興味がある方はぜひサービスサイトをご覧ください。

シェア ツイート

カテゴリー

キーワード