【Web脆弱性診断/内製化への道】#1 押さえておきたい「実施モデル」と成功のための5つの鍵🔑
Web脆弱性診断の内製化を検討するにあたって、まずはWeb脆弱性診断の実施モデルを知っておくことも重要です。三つのモデルの違いと、内製化成功の鍵について解説していきます。
Web脆弱性診断の三つの実施モデルとは?
Web脆弱性診断の実施方法は、外部委託モデルか内製化モデルかのどちらかというわけではなく、もう一つ外部委託と内製化を組み合わせたハイブリッドモデルも選択肢として挙げられます。
内製化を検討する上でも、三つのモデルそれぞれの特性を理解することが、最適な戦略選択の第一歩となります。
- 外部委託モデル
第三者の専門機関に診断を依頼するモデルです。知識が豊富なセキュリティ診断の専門家が診断するので、診断結果の信頼性が高く、セキュリティ基準への準拠や第三者機関による診断を求められる場合に採用されます。
- 内製化モデル
社内に専門チームと設備を構築し、診断能力を自社で保有するモデルです。DX推進やDevSecOps※の実現といった観点からも、診断実施の俊敏性はメリットが高く、診断を通じて社内にセキュリティの知見が蓄積されます。
※DevSecOps:開発(Development)、セキュリティ(Security)、運用(Operations)を組み合わせた造語で、セキュリティを全工程に組み込む考え方
- ハイブリッドモデル
内製化と外部委託の能力を戦略的に組み合わせるモデルで、最も現実的かつ効果的なモデルとされています。
このアプローチでは
① 開発プロセスに組み込まれた自動診断ツールによって社内の内製チームが日常的かつ頻繁なスキャンを実施する
② 外部の専門家による診断を、特に重要なシステムや複雑なビジネスロジックを持つアプリケーション、年次評価など、網羅的かつ高精度で信頼性の高い診断が求められる場面に限定して活用する
という形で、内製化と外部委託の両方のメリットを活用していくモデルです。
三つのモデルの比較
▍コスト
| 外部委託モデル | 都度診断費用が必要。頻度に応じて増大する。手法によってもコストが増大する可能性がある |
| 内製化モデル | 高額な初期投資(人材、ツール)と運用費がかかる。長期的にはコスト削減になる可能性がある |
| ハイブリッドモデル | 初期投資と外部委託費のバランスで、コストの最適化も検討可能 |
▍スピード・俊敏性
| 外部委託モデル | 委託先のリソースなどの状況により、時間がかかるケースもある |
| 内製化モデル | 開発サイクルに統合可能。日常的に迅速な診断が可能 |
| ハイブリッドモデル | 日常的な診断は迅速に、重要な診断は計画的に実施可能 |
▍専門性・精度
| 外部委託モデル | 専門家による高い信頼性の診断が可能。第三者診断の指定や年次評価で選択されることが多い |
| 内製化モデル | 社内人材のスキルによる依存度が高い。自動化ツールは複雑な脆弱性を見逃す可能性や誤報もある |
| ハイブリッドモデル | ツールによる網羅性と専門家による高精度な診断を両立 |
▍スケーラビリティ
| 外部委託モデル | 対象増加に伴いコストが比例して増大する |
| 内製化モデル | ツール導入により多数のシステムを効率的に診断可能。人材のスキルが診断のボトルネックとなる可能性がある |
| ハイブリッドモデル | 内製の診断で迅速に広範囲をカバーしつつ、必要に応じて外部リソースを活用できる。柔軟なスケールが可能 |
▍管理
| 外部委託モデル | プロセスやデータに対する管理は委託先に大部分を依存する |
| 内製化モデル | 診断プロセス、ツール、データを完全に自社で管理できる |
| ハイブリッドモデル | 日常業務は自社で管理、外部委託部分は委託先で管理できる |
▍社内能力開発
| 外部委託モデル | 委託先に任せるため、社内にノウハウが蓄積されにくい |
| 内製化モデル | セキュリティ知見が組織内に蓄積され、セキュアな開発文化が醸成される |
| ハイブリッドモデル | 内製チームのスキルが向上されるとともに、外部専門家からの知見獲得も可能 |
内製化と一言でいっても、完全な内製化モデルなのか、ハイブリッドモデルが良いのか、戦略的な判断が必要になります。
ご自身の会社はどの選択肢が最適なのか、まずは、目的をしっかりと定めることが各判断の指針になっていくのではないでしょうか。
内製化成功のための5つの鍵
内製化の導入にあたっては段階的なアプローチが必要とされ、一度に全てを実現するのではなく、リスクを管理しながら段階的に社内スキルを構築する「プロジェクトとしての推進」が推奨されます。
「計画」フェーズにおいて、しっかりと目標を定め、試験的なアプリケーション(重要度の低い限定的なアプリケーション)を選定し、基盤計画を行うことからスタートし、「体制構築」「技術選定」「運用化」と1年以上の期間が必要です。
そして、内製化プロジェクトの推進にあたり、以下の内容が内製化導入を成功に導く鍵とされています。
いかがでしたでしょうか。
内製化は非常に大きな投資が必要とされ、投資対効果は時間をかけて実現されるものである点からも、PSIRTやCSIRTの強化などといったセキュアな企業文化の醸成を長期的に取り組む企業方針も重要になりそうですね。
ライター/ふぁんふぁん
愛犬をめで、楽器と戯れ、おいしいものにかぶりつく日常を送りつつ、信興テクノミストのハイブリッドWebセキュリティ診断「ABURIDA®️」のカスタマーサポートとして縁の下の力持ちになるべく修行中。