的確な手法を選択するために、業種で異なるWebアプリ脆弱性診断の使い分け方

　インターネットに接続された機器やWebサービスを狙うサイバー攻撃が増加する中、その対策として脆弱性診断の重要性が高まっている。Webアプリケーションの脆弱性診断手法には大きく分けて「手動診断」と「自動診断」の2つがあるが、いずれも費用、工数、精度の点で長短があり、完璧な方法は存在しないのが現実だ。

　セキュリティ対策では、堅牢性と扱いやすさはトレードオフの関係にあるため、リソースやシーンに合わせた運用が要点になる。例えばある企業では、提供するWebサービスのリリース前に高精度な手動診断を行い、その後の頻繁な機能追加や改修では、開発工程に組み込まれた診断ツールで継続的な検査を実施している。

　本資料では、脆弱性診断における2つの手法の違いを明らかにするとともに、診断手法の使い分けについて企業規模・業種別の事例を交えて解説する。併せて、ほぼ全てのWebアプリケーションを複数ユーザーで検査できる、クラウド型のWeb脆弱性検査ツールを取り上げ、その特徴や機能を紹介している。