人員・予算の制約下で進める脆弱性診断の内製化、知識がなくても診断可能に

　WebサイトやWebアプリケーションの開発に欠かせない脆弱性診断の内製化ニーズは、年々高まり続けている。しかし、限られた予算と人員で、頻繁に行われる更新やバージョンアップに対応するのは負担が大きく、それを実現できているとは言い難いのがこれまでの現実だった。

　その解決策の1つに、あるECサイト向けCMSを手掛ける開発会社の取り組みがある。同社はもともと高機能の脆弱性診断ツールを利用していたが、検査に必要な設定などの事前準備および検査自体に時間がかかることから、大きなプロジェクトのリリース直前にしか脆弱性診断を実施できていなかった。この状況を打破したのが、あるクラウド型Web脆弱性診断ツールだ。

　低コストであることに加え、Webテスト環境が整備されているので、クラウド上でDockerコンテナがビルドされた後に、脆弱性診断をするまでの一連の流れを自動化できたという。本資料では、同社をはじめ、4社の事例を紹介。脆弱性診断を気軽に利用できる内製化のポイントを明らかにする。