セキュリティ診断実施における一般的な課題

セキュリティ診断(脆弱性診断)において、理想はもちろん診断対象の全機能を対象にして、診断項目を網羅的に検証していくことです。

しかし、診断対象のアプリケーションが一定以上の規模になるとどうしても費用が高額になってしまいます。結果、全機能を対象にすることができなくなるケースが非常に多いです。

通常そのようなケースにおいて、ご予算に応じた診断プラン策定のために採用される手法は、診断対象となる機能を絞り込む「スコープ」です。

しかし、スコープはあくまで対象の機能を絞り込むものであり、診断項目(有無を検証する脆弱性)は絞り込みません。これは網羅的な調査を保証する上で大きなメリットがありますが、時にビジネス上の優先度が低い脆弱性の調査にまで工数を割いているという形にもなり得ます。

リスクフォーカス型プランでは、以下をあえて限定せずに診断を開始します。

• 診断対象の機能
• 検証する診断項目

セキュリティエンジニアの動きに自由度を与えることで、全機能を対象にしながらビジネス上の優先度が高い「リスクが大きい / 発生しやすく狙われやすい」にフォーカスすることができるのが本プランの特徴です。