PR
脆弱性診断は「内製か、外注か」ではない 専門家が明かす“第三の選択肢”とは:“ハイブリッド型診断”の実践知を探る
脆弱性診断を外部委託に頼る運用は、コストやスピードの面で限界を迎えつつある。セキュリティ品質と開発スピードをどう両立させるか。Webセキュリティの第一人者と、「ハイブリッド型・脆弱性診断」の提唱者が議論する。
Webシステムの脆弱(ぜいじゃく)性を突いたサイバー攻撃が後を絶たない。昨今は生成AIの普及により、高度なスキルを持たない攻撃者でも容易に脆弱性を発見し、攻撃プログラムを作成できるようになった。脆弱性の発見から攻撃までの期間はより短くなり、攻撃自体も増加傾向にあるため、企業側の対策は後手に回りがちだ。
そうした状況の中、サイバー攻撃による情報漏えいやデータ改ざんを未然に防ぐための検査「脆弱性診断」のあり方も変わりつつある。従来は外部の専門家に委託することが一般的だったが、開発サイクルが短期化する現在、その度に委託していてはコストが増えるばかりでなく、リリースに間に合わせることも難しくなる。だからといって完全に内製化しようとしても、セキュリティ人材の不足がボトルネックになるだろう。
脆弱性診断を「内製化すべきか、外注すべきか」──。企業がセキュリティ対策を進める上で直面するこの選択にどう向き合えばよいのだろうか。Webセキュリティの第一人者である徳丸浩氏と、脆弱性管理・運用のエキスパートに、“選択の勘所”となる“ハイブリッド型”のあり方を聞いた。
提供:株式会社エーアイセキュリティラボ
アイティメディア営業企画/制作:アイティメディア編集局