Webアプリの安全性を確保、継続的な脆弱性診断の必要性と実践のポイントとは？

　ランサムウェアをはじめとするサイバー攻撃では、Webアプリケーションの脆弱性が悪用されるケースが増えている。対策としてIPA（情報処理推進機構）が提唱する「安全なWebサイトの運用管理に向けての20箇条」は、その多くが脆弱性診断によって問題を早期に発見できる内容となっている。

　しかし近年は、アジャイル開発の普及やノーコード開発ツールの利用拡大によりリリース頻度が加速しており、構築時のみの診断では新たな脆弱性の混入リスクを十分に排除できない状況にある。一方で、エンジニア不足や外注コストの増大が、診断を継続的に実施する上での障壁となっている。

　そこで注目されているのが、外注と内製を組み合わせたハイブリッド型の運用だ。大規模なリリース時には外部の専門家に依頼し、日々の軽微な更新は自社で診断を行うようにする方式である。本資料で紹介するクラウド型診断ツールは、AIとRPAを活用して診断工程を自動化するもので、専門知識がなくても最短10分で診断を開始できる。資料では、診断の高頻度化や診断期間の短縮を実現した2社の事例も紹介しているので、ぜひ参考にしてほしい。