進化する脆弱性診断、ハイブリッド型で実現するコスト削減＆セキュリティ強化

　自社のシステムやWebサイトの欠陥を検出し、セキュリティの状態やサイバー攻撃のリスクを把握する「脆弱性診断」。従来、外部ベンダーに委託するケースが一般的だったが、情報処理推進機構（IPA）の「脆弱性診断内製化ガイド」でも紹介されている通り、近年は内製化への関心が高まり、脆弱性診断ツールなどを活用して自社で実施するケースも増えてきた。

　一方で、「どのような診断方法が自社に合っているのか」「内製化は本当に可能なのか」といった疑問を抱えている企業も少なくない。まずは外部委託と内製のメリット／デメリットを把握し、場合によっては両者を組み合わせたハイブリッドな診断を選択するなど、自社の状況に適した診断スタイルを選択することが必要だ。
　
　本資料では、脆弱性診断内製化ガイドの議論をさらに深掘りし、外部委託と内製のメリット／デメリットを解説するとともに、コストやスピードなどのバランスを柔軟に調整できるハイブリッド診断の具体的な進め方や成功事例を紹介する。自社に最適なスタイルを見極めるためにも、IPAのガイドと合わせて内容を確認していただきたい。