Webマーケ担当(IT業界10年):新人
VAddy 契約担当:西野
VAddy 開発担当:市川
第2回:知ってる人だけ得をする!脆弱性診断の"沼”にはまらないために
新人:前回の記事では「今、需要が高まってきている脆弱性診断とは?」についてお話を伺いましたが、今回は「脆弱性診断の"沼"にはまらないために」というテーマで質問していきたいと思います!
西野:沼?
市川:沼とは・・・
新人:初めて脆弱性診断の実施を検討した時に、いろんな情報が入ってきて比較する時に迷うと思ったんですよね。
西野:あ~、そういうことか。おそらく比較検討の時に迷うのは非自発的に実施する場合、つまりクライアントや他の人から言われた場合だと思う。自発的に診断を実施しようとする場合は、自分たちである程度の指針を持っていると思うからね。 外部から「脆弱性診断を実施すること」といったざっくりとした指針を与えられたときに、多くの人は何をどの程度やれば良いのかで迷うことになるんじゃないかな。実際にオンライン相談会でもそういう相談を持ちかけられるよ。
新人:脆弱性診断を実施しているかどうかだけの確認だと判断難しいですね・・・
西野:契約条件として提出を求められるセキュリティチェックシートに「脆弱性診断の実施の有無」とは書かれているけど具体的な検査項目は書かれていなくて回答までにそんなに時間もないとかね。
市川:明確に検査しておきたい脆弱性がある場合や、PCI-DSSやOWASP TOP10といった具体的な基準が提示される場合は、それを検査してくれる脆弱性診断ツールや手動診断を選べばいいけど、まず、脆弱性診断でどんな検査項目を選べばいいかわからない場合に大切なのは、現実的な脅威への対策ができる検査項目が絞れている脆弱性診断を選ぶことなんじゃないかな。
新人:検査項目って、多ければ多いほど安全なWebアプリケーションになるんじゃないんですか?
西野:検査項目が多いほうが安全になることは間違いないけど、全ての脆弱性が均等に狙われるわけではなくて、その中には「よく狙われるものとそうでないもの」あるいは「想定被害が大きいものとそうでないもの」がある。なので、検査項目が2倍になったからといって2倍安全になるってわけでは無いんだ。セキュリティ対策は継続することが大切だから、脆弱性診断の実施が負担になりすぎないようにバランスを取ることも重要なポイントだね。
市川:この業界は検査項目数の多さで競っている傾向があるけど、それにはトレードオフの関係がある。項目数の多さは検査時間が多くかかり場合によってはツールで1日以上かかる場合もあるよ。あとリスクが低い検査も入ってくると、それを検知した時に開発現場では修正するのかしないのか、取捨選択の工数も発生するから、必ずしも検索項目が多ければ良いというものでもないかな。
新人:そうすると、検査すべき項目がわからない場合はどうすればいいんですかね?
西野:診断自体が全く初めてで、予算やスケジュールに余裕がある場合は診断会社に丸投げするのもアリだと思う。注意すべきポイントや対処すべき項目も優先度をつけてアドバイスしてもらえるから。だけど、Webサービスを運営している場合なんかだと機能追加や改修が頻繁に発生するから、その都度診断を外部に依頼してたのではお金がいくらあっても足りないよね。
市川:手動診断も検査する画面数を絞れば予算もある程度抑えられる場合もあるけど、あとから他の画面も検査が必要だったということになればまた追加で料金は掛かるし、Webアプリケーション全体を脆弱性診断したいのなら、脆弱性診断ツールも候補に入れておくといいかもしれないね。
新人:本日はありがとうございました!
次回は9月末更新予定です。「第3回:脆弱性診断ツールを導入した後に困ることってなに?」です。
お楽しみに!
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
トレーニングや資格取得の必要なし!
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
