脆弱性診断内製化の再定義（VAddyの考える脆弱性診断の内製化）

ビットフォレストはVAddyブログにて「脆弱性診断内製化の再定義（VAddyの考える脆弱性診断の内製化）」を公開しました。

2020年9月9日に初めてのVAddyオンラインセミナー (リンク ») を開催いたしました。

そこではVAddy (リンク ») のご紹介はもちろんのこと、脆弱性診断内製化のトレンドについても軽く触れさせていただきました。

ここ数年、脆弱性診断の内製化の動きが加速しつつありますが、今回はVAddyの考える脆弱性診断内製化についてお話させていただきます。

・脆弱性診断内製化の再定義

そもそも脆弱性診断の内製化とはどういう意味でしょうか？

言葉通りに捉えると「社外の診断会社に依頼していた脆弱性診断（の一部）を社内に移管すること」となります。

昨今のサイバー攻撃やセキュリティインシデントの増加にともなう利用者のセキュリティ意識の高まりや、コンピュータソフトウェアのSaaS化を中心としたビジネス環境の変化から、高いスキルを持つセキュリティエンジニアが実施する診断のやり方だけでは間に合わない状況になってきており、多くの企業やプロジェクトにおいて脆弱性診断を実施しないままプロダクト／サービスがリリースされています。

そうした現状への課題感からセキュリティ企業を中心にセキュリティエンジニア養成プログラムや脆弱性診断内製化支援サービスが提供されていますが、セキュリティの知識はもちろんのこと、アプリケーション開発の知識や長年の業務で培った「経験と勘」も物を言う世界ではセキュリティ担当者の育成は一朝一夕にはいかず、セキュリティエンジニア不足は解消される気配はありません。既に社内にセキュリティ部門が設置されている場合でも、人材不足のセキュリティ部門がボトルネックになるというケースも耳にします。

そこで、VAddyでは脆弱性診断の内製化の定義を一歩進めて

「社内外のセキュリティ専門家が実施していた診断業務（の一部）を非セキュリティ部門にて実施すること」

と定義しています。つまり「社外から社内」だけではなく「社内のセキュリティ部門から非セキュリティ部門」への移管も内製化に含めて考えています。

脆弱性診断をセキュリティ担当者だけに任せるのではなく、Webアプリケーション／Webサービスに関わる全ての人が最低限の脆弱性診断を行えることが、いま最も必要とされています。

この記事の続きは (リンク ») からご覧ください。

【VAddy関連ページ】
導入事例　　　　： (リンク »)
脆弱性診断とは？： (リンク »)