編集部からのお知らせ
「ZDNet Japan Summit 2020」開催します!
新着記事まとめ:エッジコンピューティング

脆弱性診断内製化の再定義(VAddyの考える脆弱性診断の内製化)

株式会社ビットフォレスト

2020-09-25 15:00

ビットフォレストはVAddyブログにて「脆弱性診断内製化の再定義(VAddyの考える脆弱性診断の内製化)」を公開しました。
2020年9月9日に初めてのVAddyオンラインセミナー (リンク ») を開催いたしました。

そこではVAddy (リンク ») のご紹介はもちろんのこと、脆弱性診断内製化のトレンドについても軽く触れさせていただきました。

ここ数年、脆弱性診断の内製化の動きが加速しつつありますが、今回はVAddyの考える脆弱性診断内製化についてお話させていただきます。

・脆弱性診断内製化の再定義

そもそも脆弱性診断の内製化とはどういう意味でしょうか?

言葉通りに捉えると「社外の診断会社に依頼していた脆弱性診断(の一部)を社内に移管すること」となります。

昨今のサイバー攻撃やセキュリティインシデントの増加にともなう利用者のセキュリティ意識の高まりや、コンピュータソフトウェアのSaaS化を中心としたビジネス環境の変化から、高いスキルを持つセキュリティエンジニアが実施する診断のやり方だけでは間に合わない状況になってきており、多くの企業やプロジェクトにおいて脆弱性診断を実施しないままプロダクト/サービスがリリースされています。

そうした現状への課題感からセキュリティ企業を中心にセキュリティエンジニア養成プログラムや脆弱性診断内製化支援サービスが提供されていますが、セキュリティの知識はもちろんのこと、アプリケーション開発の知識や長年の業務で培った「経験と勘」も物を言う世界ではセキュリティ担当者の育成は一朝一夕にはいかず、セキュリティエンジニア不足は解消される気配はありません。既に社内にセキュリティ部門が設置されている場合でも、人材不足のセキュリティ部門がボトルネックになるというケースも耳にします。

そこで、VAddyでは脆弱性診断の内製化の定義を一歩進めて

「社内外のセキュリティ専門家が実施していた診断業務(の一部)を非セキュリティ部門にて実施すること」

と定義しています。つまり「社外から社内」だけではなく「社内のセキュリティ部門から非セキュリティ部門」への移管も内製化に含めて考えています。

脆弱性診断をセキュリティ担当者だけに任せるのではなく、Webアプリケーション/Webサービスに関わる全ての人が最低限の脆弱性診断を行えることが、いま最も必要とされています。

この記事の続きは (リンク ») からご覧ください。

【VAddy関連ページ】
導入事例    : (リンク »)
脆弱性診断とは?: (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]