頻繁な実施が難しい「手動」脆弱性診断、コストや時間の課題を解決する方法とは

　Webを利用したサービスが普及する一方、脆弱性攻撃による情報漏えいリスクが高まっている。これを防ぐには、サービス開始時のみならず、その後の継続的な脆弱性診断が必要だ。これらは手動診断で行うことが理想だが、コストや時間の問題で頻繁な実施は難しい。そのため継続的な診断はツールに頼ることになるが、行き届かない部分やチューニングの手間が発生してしまう。

　そこで注目したいのが、手動診断の「深さ」と、自動診断の「継続性」を持つハイブリッド脆弱性診断サービスだ。まず手動診断できめ細かな脆弱性診断を実施した後、対象のWebサイトをツールで毎日診断し、サイト構成の変化に応じて手動診断を実行。その結果をポータル上で絶えずアップデートする仕組みで、脆弱性のリスクを最小化する。さらに診断スコープ全体に対し、年4回の手動診断を実施することでツール診断による検知漏れリスクの軽減が可能だ。

　診断スコープの確認から診断までの全てをサービス側のセキュリティ専門家が行うため、最低限の運用コストで実施できる点も魅力だ。本資料では、パナソニックネットソリューションズの導入事例を交えつつ、同サービスの特長を詳しく紹介する。