自社でいい？それとも外部委託？こんなときはWebセキュリティ診断を第三者に依頼しよう

Webセキュリティ診断を行うべきタイミングと外部に委託したほうがいい場合

主に外部のネットワークに直接さらされるWebサイト／Webアプリケーションには、セキュリティ診断は必須といっても過言ではないでしょう。

では、どのタイミングでどのようなセキュリティ診断を行うべきでしょうか。

システムの開発中の場合は、自社 or 外部委託がお勧め！

脆弱性とは「悪用可能なバグ」です。どのようなソフトウェアでもバグを完全に無くすことは困難です。開発工程の早い段階から、例えばOWASP ZAP（※1）のような診断ツールを使用してセキュリティ診断を行うことは、システム全体の品質向上につながります。

通常の操作では起こり得ないような不正な入力値を自動的に送信して検査するため、対策することでより堅牢なシステムを構築することができます。このような単純で網羅的な検査は、診断ツールの得意とするところです。また、診断ツールの使用方法を習得すれば、開発担当者自らが検査することも可能です。

※1 「OWASP ZAP」
OWASP(国際ウェブセキュリティ標準機構）が提供している、オープンソースのWebアプリケーション脆弱性診断ツール。
https://www.zaproxy.org/

システムのリリース前の場合は、外部委託がお勧め！

この段階では、第三者による診断ツールと手動診断を組み合わせたハイブリッドなWebセキュリティ診断を実施することをお勧めします。

診断ツールでは、主にプログラム変更により他の箇所に不具合が出ていないかを確認し（回帰テストと呼ばれます）、手動診断では、専門的な知見に基づいて診断員が手作業で検査します。権限チェックの不足やロジカルな誤り、パフォーマンスの低下などの脆弱性は、診断ツールだけでは検出することが難しいため、手動診断を併せて行います。

さらに、検出された個々の脆弱性を診断員が精査することにより、潜在的なリスクをより正確に把握することができます。その結果、より詳細で具体的な内容の診断報告書を作成できるため、システムの改修がしやすくなります。

また、公開前の本番環境に対してプラットフォーム診断を行い、ネットワーク機器の設定誤りや脆弱なバージョンのソフトウェアが使用されていないかを確認するとよいでしょう。

「手動診断」は、セキュリティの専門的な知識を必要とするため、自社ではなく専門的知識を持ったWebセキュリティ診断会社に委託することをお勧めします。

システムのリリース後の場合も、外部委託がお勧め！

システムは時間の経過とともにセキュリティリスクが増大します。これはたとえシステム本体に改修が無くとも、使用しているOSやソフトウェアに新たな脆弱性が発見されることがあるからです。そのため、例えば年単位やリリースごとなど、一定のタイミングで定期的に第三者によるWebセキュリティ診断を行うことが有効です。

定期的に潜在的なリスクを洗い出し、対策の要・不要を判断し、システムの機能追加や保守計画に反映することで、計画的にセキュリティリスクをコントロールすることができます。それは、結果的に運用コストの削減にもつながります。

Webセキュリティ診断を行うタイミングによって診断内容がまったく異なることがお分かりいただけたでしょうか？Webセキュリティ診断を外部に委託する場合、診断会社の選び方についてはこちらの記事でも解説しておりますので、こちらもぜひご覧ください。

関連記事：「Webセキュリティ診断のメリット・デメリットはこれだ！失敗しない診断会社の選び方」

まとめ

適切なタイミングで必要なWebセキュリティ診断を行うことにより、潜在的なセキュリティリスクをコントロールすることが、システムの安定稼働につながります。

当社ではWebセキュリティ診断に関するご相談をいつでも受け付けています。ご予算に応じたセキュリティ診断プランを作成することも可能ですので、お気軽にご相談ください。ご興味がある方はぜひサービスサイトをご覧ください。

ハイブリッドWebセキュリティ診断「ABURIDA™」