クラウド型脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

脆弱性診断について学ぼう!非エンジニア向けシリーズ

登場人物

f:id:vaddy:20200728170646j:plain Webマーケ担当(IT業界10年):新人

f:id:vaddy:20200728170619j:plain VAddy 契約担当:西野

f:id:vaddy:20200728170601j:plain VAddy 開発担当:市川

第1回:今、需要が高まってきている「脆弱性診断」とは?


新人脆弱性診断ツール「VAddy(バディ)」に関わらせてもらうことになったけど、そもそも脆弱性診断というのがよくわからないぞ?そういえば、何でも聞いていいって言われているから西野さんと市川さんに聞いてみよっと。

ー後日、2人をオンラインで呼び出してみる

新人:おふたりに脆弱性診断について聞いてみたいことがいくつかありまして・・・。

西野:なんでも聞いていいよ!

市川:まかせてください。

新人:私、10年間もIT業界で働いているのに実は「脆弱性診断」について1回も聞いたことがないんです。

西野脆弱性診断をやっていないサイトのほうが多いからね~

市川:そうそう。

新人:え?そうなんですか?!

西野:入社前に脆弱性診断って興味あった?

新人:正直、「脆弱性診断」というサービスがあることすら知らなかったです。

西野脆弱性診断をやっていないWebサイトが多いのには理由があるんだよね。 1つは、みんな自分たちのWebサイトに脆弱性があるなんて思っていないパターンが多かったんじゃないかな。

市川:一般的なバグは仕様通りに動かないからすぐにわかるけど、脆弱性のバグは見えにくいから開発者や受け入れテストでは気付けないことが多いね。

新人:確かに、自分たちのWebサイトに脆弱性があるかもという想像さえしたことなかったです。

西野:でしょ?脆弱性を意識する場面ってそんなに多くないからね。 でも、最近では脆弱性を突いた攻撃も増えてきているし、意識が徐々に変わりつつあるかもしれないね。

新人脆弱性診断は気にしていなくてもWebサイトの事故はニュースで見ますね。

西野脆弱性診断をやっていなかった理由として、もともと意識していなかったパターンの他に、脆弱性診断は高額で本当は検査したくてもできなかった企業も、もちろんあったとは思うけど。

市川オープンソースでOWASP ZAPもあるけど、自力でやるには知識がないと難しいし、レーニングと診断ツール実行時間も掛かるから簡単には脆弱性診断はできなかったんだよね。

西野:さっきも話したように、脆弱性診断を実施していない企業もまだまだあるとは思うけど、最近はそうも言っていられない事情があって、脆弱性診断の需要は高まっているかな。

市川契約時にセキュリティチェックシートを求められることも増えてきてるからね。

新人:セキュリティチェックシート?

西野:そう。企業がWebサービスを契約する際に、そのサービスが脆弱性診断を実施しているか事前に確認することが増えてきたんだよ。しかも、脆弱性診断を行っている、行っていないだけではなくて具体的に聞かれる場合もあるらしい。セキュリティチェックシートの業界共通のフォーマットがあるわけではないから、僕が知っている限りだとこんな感じ・・・・・
SQLインジェクションなどの検査が行われているかどうか
脆弱性診断を年に何回実施しているか
脆弱性診断の最終診断日
とかね。

市川:セキュリティチェックシートの提出を求められて脆弱性診断を実施しないわけにはもちろんいかないんだけど、どの企業も脆弱性診断にかけられる時間や予算は決まっていたりするから、具体的にどうやって脆弱性診断を実施しようか悩む企業も多いんだよね。

新人:なるほど。わたしも具体的にどんな脆弱性診断があるのかわからないです・・・。

西野脆弱性診断を実施する場合、手動診断と脆弱性診断ツールのどちらかを選ぶか、両方を実施するパターンもあるね。手動とツールはそれぞれの良さがあって、手動脆弱性診断は高額になりがちだけど、ツールでは検出できない脆弱性を見つけてくれることも多いから、必要に応じてツールと使い分ける柔軟さが必要かな。

市川脆弱性診断ツールは、うまく活用できれば知識(経験)の蓄積ができて、セキュアなWebアプリケーション開発が継続的に行えるようになるというメリットもあるね。最初はツールで大量の脆弱性が検出されたとしても、自分で修正していくことで安全なWebアプリケーションの作り方を学ぶことができるから。 他にもツールを使って脆弱性診断の内製化を実現できれば、自分たちの開発サイクルに沿った診断を実施できるから、リリースサイクルに合わせやすくなることもあるよね。ただ、多くの脆弱性診断ツールは社内勉強会、講師を招いてのトレーニング、資格取得などの教育コストが掛かる場合がほとんどだから脆弱性診断ツールを比較する時には、セキュリティや診断作業の知識をどれくらい必要とするツールなのかはチェックしておくといいかもしれないね。

新人:本日はありがとうございました!
次回は8月末更新予定です。「第2回:知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために」です。 お楽しみに!

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/

レーニングや資格取得の必要なし!

クラウド型Web脆弱性診断ツール「VAddy」

「VAddy」開発者に聞ける!個別相談会

脆弱性診断とは?

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/