経営層こそ知るべき､Webサービスやアプリケーションのリリース前は｢脆弱性診断｣がマナー？小規模サービスでもセキュリティ対策は必要

——脆弱性診断とは、具体的にどのような方法で行うのでしょうか？

脆弱性診断ツールとよばれるアプリケーションやシステムのセキュリティをテストするツールがあります。無償で利用できるものや、有償でも低価格で利用できるものが多数提供されており、誰でも利用することができます。サービスリリースしたばかりで予算がないという場合などは、脆弱性診断ツールを利用して脆弱性診断を行うだけでも一定のセキュリティ対策は可能です。

「OWASP ZAP」は、無償で利用できる脆弱性診断ツールのひとつ。Webアプリケーションの脆弱性をテストできる https://www.zaproxy.org/

より高レベルな診断をするなら専門家に依頼を

——脆弱性診断ツールを使って自社で診断を行うだけで安全は担保できるということでしょうか？

守井 浩司（もりい・こうじ）／ レオンテクノロジー代表取締役社長 1981年、京都府生まれ。株式会社レオンテクノロジー2005年3月設立。各種サイバーセキュリティ事業を展開。自身も現場の最前線にて活動を続ける傍ら、ホワイトハッカー育成やサイバーセキュリティの第一人者として、各種取材や講演活動を通じて、セキュリティに関する啓蒙活動に注力。（写真は本人提供）

ツールはあくまでも網羅性の担保や効率化のために利用するものですし、脆弱性診断ツールでは検出できない脆弱性も存在します。より高い精度で脆弱性をチェックしたいのであれば、セキュリティエンジニアやホワイトハッカーといわれる人に脆弱性診断を依頼するのが理想です。とくに個人情報や機密情報を多く扱うサービスの場合は、専門家による診断を行うことをおすすめします。

——専門家に依頼するときに注意するべきことは？

ひとくちにセキュリティといっても、とても範囲が広いんです。セキュリティという総合病院があるとイメージしてください。そのなかに病院の診療科のように、さまざまなセキュリティの分野が存在します。病院を受診するときでも、耳が痛いので耳鼻科に行ったら実は内科でみてもらう必要のある病気だった、といったケースもあると思います。