クラウド型脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

第4回:脆弱性診断を実施する企業が急増している理由とは?

登場人物

f:id:vaddy:20200728170646j:plain Webマーケ担当(IT業界10年):新人

f:id:vaddy:20200728170619j:plain VAddy 契約担当:西野

f:id:vaddy:20200728170601j:plain VAddy 開発担当:市川

第4回:脆弱性診断を実施する企業が急増している理由とは?


新人:10月のブログ記事を飛ばしてしまいました。すいません・・・。 9月末にITmediaNEWSで下記の記事を公開しました!そちらも合わせてご覧ください!

www.itmedia.co.jp

新人:本日のテーマ「脆弱性診断を実施する企業が急増している理由とは?」についてお話を伺っていきたいと思います!今まで脆弱性診断はどれくらいの頻度で実施するのが主流だったのでしょうか?

西野:いや、脆弱性診断を実施していないことが主流だったんじゃないかな。

市川:そう。脆弱性診断をしていないことが多かったよ。これまで300社以上にVAddyの説明をしてきたけど、その大半が脆弱性診断の実施経験が無かった。前職までIT系の会社に居たと思うけど、そこで「脆弱性診断」って聞いたことあった?

新人:そう言えば聞いたことありませんでした。ビットフォレストに入社するときに初めて聞きました。それまでの会社でも脆弱性診断とかセキュリティ対策が社内で話題になったことは無い気がします。私が知らないだけかもしれませんが。おふたりはこれまで300社以上から脆弱性診断の相談を受けてきたということですが、過去と比較して最近の相談内容に変化はありましたか?

西野:2018年の秋くらいから一気に変わってきたのは感じるね。VAddy導入検討の理由で多くなってきたのは「お客様から脆弱性診断の実施状況を確認されているんですけど・・・」に変わったな~。いわゆるセキュリティチェックシートの提出を求められてるというケースだね。主にSaaS提供企業からの相談だけど。

市川:それまではいわゆるセキュリティ意識の高いお客様が自発的にVAddyのようなソリューションを探して辿り着いたケースのほうが多かったけど、2018年の後半からは「クライアントからの指摘があって」というような外的な要因がきっかけになるケースが増えてきたことは感じる。

新人:エンドユーザーからの指摘があって診断ツールを探し始めたということだと、開発側が「脆弱性診断をやっています」と発注側や利用者側に積極的に開示するということはあまりないということですか?

西野:う~ん。受託開発に限ると「無い」ということになるのかな。もちろんセキュアな開発は意識していると思うけど、脆弱性診断というコストのかかる独立した作業を発注側からの指示なしに自発的に実施する企業は少ないと思うよ。もちろんVAddyを使っていただいている受託開発会社の中にはVAddyを通してから納品するというルールを作っているところもあるので、そうした会社では積極的に開示してると思うけど。逆にSaaSの運営会社の場合は脆弱性診断を含めたセキュリティ対策をきちんとやっていることを積極的にアピールすることのほうが多いんじゃないかな。セキュリティ対策の実施状況がツール/サービスの選定の決め手になる場合もあるからね。

新人:受託開発で発注側から脆弱性診断の実施を指示されていなかった場合開発側は脆弱性診断を実施しなくても特に問題はないのでしょうか?

西野:いわゆるRFPの中に脆弱性診断の実施が入っていないなら脆弱性診断を実施しなくても問題ない。ただし、脆弱性診断がRFPに含まれていなかったからと言って、セキュアな開発を行う義務を免れるわけではなくて、実際に脆弱性に起因するインシデントが起きた時は開発者側の責任になることも多いので、そこは慎重になったほうが良いと思う。

市川:Webアプリケーションの脆弱性の対策漏れに関する有名な判例があるから、調べてみると良いよ。エンジニアとしての個人的な感想を言うと、RFP脆弱性診断が含まれていなかったとしても代表的な攻撃手法であるSQLインジェクションなどの脆弱性の対策は最低限やっておくべきだと思うよ。VAddyで脆弱性診断をしてもらえば代表的な攻撃手法の9項目はカバーしているから、Webアプリケーションを開発するならまずは代表的な攻撃手法の9項目をリリース前にチェックしておくと開発側の自衛になるはず。VAddyは開発者の味方になるセキュリティツールを目指して作ってて、名前もVAddy(Vulnerability Assessment is your buddy 脆弱性診断はあなたの相棒)という私が考えた造語になってるよ。

新人:分かりました。その判例については調べてみて来月のブログ記事で紹介したいと思います。ところで今まで脆弱性診断を実施していなかった企業へのVAddyの導入が増えてきている理由は何が考えられますか?

西野:VAddyを利用いただいているお客様の多くがSaaSを提供している企業なんだけど、SaaS企業にVAddyが支持されている理由は、"Webアプリケーションの改修の頻度が多いこと"”世間的にセキュリティ対策への意識が高まっていること"という2つの事象を同時に解決できるのがVAddyだからじゃないかな。 つまり、機能追加が頻繁に実施されていたとしても世間のセキュリティへの関心が高まっていなければ脆弱性診断の実施はそれほど意識されなかっただろうし、逆にセキュリティの関心が高まっていても機能追加などの改修が年に一回であればそのときに一回診断をすれば良かったんだよね。でも、SaaSの普及による"Webアプリケーションの改修の頻度の増加"”世間的にセキュリティ対策への意識が高まっていること"に対して、今までの脆弱性診断ツールやサービス「だけ」では解決できなくなってきて、VAddyのような身軽なツールが求められてきたんじゃないかな。

市川:受託開発の場合はちょっと事情が違うけど、小規模な案件でも脆弱性診断を要求されるケースが出てきていて、そうした場合にVAddyはちょうど良いと聞いているよ。 あとは、手動脆弱性診断を外部に依頼しているケースでも、予算的な問題でWebアプリケーションの全画面を手動診断にかけられるわけではないから、診断をできなかった画面をVAddyを使って自分たちで診断するという使い方もあるよ。

新人:本日はありがとうございました!
より詳しい話は12月10日(木)16:00~VAddyオンラインセミナーでも聞けますので、もしご興味ある方はオンラインセミナーに参加してみてくださいね。

vaddy.net

次回は12月更新予定です。「第5回:脆弱性診断で本当にあった怖い話」です。 お楽しみに!

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/

レーニングや資格取得の必要なし!

クラウド型Web脆弱性診断ツール「VAddy」

「VAddy」開発者に聞ける!個別相談会

脆弱性診断とは?

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/