知っておきたい脆弱性診断の2種類の方法とは

大きく分けると手動と自動の2つがある

脆弱性診断には手動診断と自動診断の2つの種類があります。
細かく分類すると他にも種類がありますが、大きく分けるとこの2つが主な方法です。
これから脆弱性診断を行うことを検討している企業は、2つの違いを知った上で実施しましょう。
まず、手動診断についてですが、これは文字通りに人の手を使う方法です。
社内に専門知識のある従業員が所属するセキュリティ部門があればその担当者が行い、いなければ外部の業者に依頼することになります。
また、事前準備が必要です。
対象のWEBアプリケーションの調査構成を確認し、具体的な画面遷移図を作成してください。
また、予算や期間を考慮して必要な機能に絞り込むなど範囲も検討する必要があります。
実際に手動脆弱性診断を行う際は、対象WEBアプリケーションにアクセスし、攻撃者の視点から検証を行っていく流れです。
範囲が広ければ数日間かかるケースがあるため、注意しましょう。

自動の特徴

自動診断は、ツールを利用する方法です。
セキュリティに関する知識が不十分でも実施することができます。
また、自動の方法にもリリース前、リリース後の診断用ツールがあり、使い分けることが可能です。
事前準備としては、ツールのインストールや対象、基準の設定などが必要になります。
擬似的な攻撃を行い、レポートが出力される流れです。
誤検知の可能性もあるため、改修や再診断を行うケースも少なくありません。
このように2つの種類には様々な違いがあります。
手動の場合は、柔軟性があるのがメリットですが、担当者のスキル、知識によって結果にばらつきが生じるのがデメリットです。
また、範囲が広いとコストが高くのも欠点です。
一方で、自動の場合は低価格なサービスがあり、低コストで抑えることができるのが魅力的なポイントですが、専門知識がなければツールを使いこなせないこともあります。
予算的な問題なども考慮しなければなりませんが、どちらを選択するにしても、脆弱性診断に特化した業者に依頼することをお勧めします。
トラブルが起きる前に相談してみてはいかがでしょうか。