「脆弱性診断ツールは複数導入すべし」が正しくもあり、間違いでもある理由：使える脆弱性診断ツール5選【第4回】

さまざまなベンダーが、さまざまな機能を持つ脆弱性診断ツールを提供している。脆弱性診断ツールを生かすためには、どのように導入し、活用すればよいのか。選定時には何に気を付けるべきなのか。

[Karen Scarfone，TechTarget]

　オンプレミスシステムやクラウドサービス、エンドポイントなど、企業が管理するシステムは多岐にわたる。それらに脆弱（ぜいじゃく）性が存在するかどうかをチェックするには、「脆弱性診断」ツールが役に立つ場合がある。

「脆弱性診断ツールをたくさん使う」は是か非か

併せて読みたいお薦め記事

連載：使える脆弱性診断ツール5選

• 第1回：無料版もある脆弱性診断ツール「Nessus」とは？　その歴史と機能
• 第2回：脆弱性診断ツールを比較　無料の「OpenVAS」とWeb特化の「Burp Suite」とは？
• 第3回：クラウドもチェックする脆弱性診断ツール「Snyk」「Intruder」は何ができるのか

脆弱性管理の重要性

• 知らないと危険な「OSSのリスク」　“脆弱性祭り”への対処法とは？
• 脆弱性を悪用した攻撃への対処が「簡単なようで難しい」なるほどの理由

　各ベンダーの脆弱性診断ツールは、それぞれ異なる機能を提供する。重複する機能もあるものの、それは大した問題にはならない。異なる2つの脆弱性診断ツールを使えば、1つの脆弱性診断ツールを使うよりも、多くの脆弱性を発見できる可能性が見込めるからだ。

　同じような機能を持つ複数の脆弱性診断ツールを導入することは賢明ではない。脆弱性診断ツールを使えるようになるには、診断結果の確認と誤検出の排除、担当者のトレーニングといった、さまざまなコストがかかる。商用ツールであれば、さらに利用料金や保守サポート料金などのコストが発生する。

　自社に必要な機能を、なるべく重複のないように提供する脆弱性診断ツール群を導入することが賢明だ。機器やアプリケーションによっては、利用できる脆弱性診断ツールが存在しない可能性があることにも注意を払いつつ、脆弱性ツールを選択する必要がある。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。