プロフィール
ミアミン
ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
高木 秀輔
2020年に新卒入社し、Webアプリケーションに対するツール診断や手動診断、認証認可プロトコルの診断など、幅広い診断サービスを担当。趣味はサッカー観戦と映画鑑賞。
診断会社を選ぶときのポイント
セキュリティ診断を外部ベンダーに依頼したいんだけど、会社がたくさんあって決められないミア……。いったいどうやって選べばいいの~!
高木さん
会社選び、難しいですよね。こういった悩みはお客様からもよく伺います。そこで今回は、診断会社の選び方と依頼時のポイントについて解説していきます。
キャッ!救世主、現れる!各社のサービスを比較しても違いが分かりづらいから、会社選び方の観点(軸)が知りたいミア。
高木さん
承知しました!まずは前提として、診断の目的や条件によって、最適な会社は異なります。
例えば、社内ルールで必ず実施しなければならない診断項目が定められている場合は、その基準に対応できる会社を選択する必要がありますね。予算やスケジュールに制約がある場合も、条件に合った見積もりや体制を提案してくれる会社を選ぶ必要があります。
なるほど。目的と条件に照らし合わせたら、ある程度は絞り込めそうミア。そのうえで、前提をクリアしたなかから比較検討するときには、どうやって選べばいいミア?
高木さん
次のポイントをチェックして比較することで、自社の要望や条件にマッチした診断会社を見つけやすくなります。
- 診断方法・範囲
- 求める診断基準/項目にマッチしているか(国際基準、各種業界基準、最新技術など)
- 手動/ツール診断の手法や、診断工程の具体的な説明があるか
- 診断対象システムに合わせたカスタマイズ対応が可能か
手動診断とツール診断の違いについては「ツール診断と手動診断ってどう違うの?」で詳しく紹介しています。
- コミュニケーションの質やサポート体制
- 見積もりや打ち合わせ時の説明がわかりやすいか
- 不明点や疑問に対する対応が丁寧かつスピーディーか
- 診断結果の報告会や、修正実施後の再診断などフォロー体制が整っているか
- 実績
- 診断を依頼するアプリケーションと類似したアプリケーションへの診断実績があるか
- 官公庁や金融機関など、セキュリティリスクの高いアプリケーションに対する診断実績があるか
- 第三者機関からどのような評価を得ているか
- 診断レポートの質
- 「検出脆弱性の技術的な説明」「影響」「対策」「検出個所」などがわかりやすく記載されているか
- 専門的な知識を持たない担当者にも理解できる内容になっているか
診断会社を選ぶときは、診断サービスの「価格」だけでなく、診断品質や実績、サポート体制など多角的な視点で比較検討することが大事ミア!
診断依頼前に準備するべきこと
これで会社選びはできそうミア。でも、診断を依頼するのが初めてだからまだ不安……。準備した方がいいことはあるミア?
高木さん
診断を依頼する際は、まず自社の要望をしっかりと整理し、明確に伝えることが大切です。要望が不明確なままだと、希望するスケジュールどおりに診断が始められなかったり、必要な項目の診断漏れが生じたりするおそれがあります。
また、次の5つのことを事前に社内で調整しておくと、実際の診断作業までスムーズに進められますよ。
- 診断対象・範囲の明確化
- 診断対象とするアプリケーションや機能の選定
- 診断を実施する環境の選択(本番環境ではなく診断用の環境で実施することを推奨)
- 要件・目的の整理
- 診断を依頼する目的の整理(リリース前の安全確認、ガイドライン対応、クライアント要望など)
- 必須の診断項目や重点項目のピックアップ
- 社内調整・関係部門との連携・診断用環境やデータの準備
- 情報システム部門
- 診断日程調整
- 環境・ネットワーク設定対応/アクセス権限付与
- 開発・運用部門
- 診断用環境の準備
- 診断用アカウント準備(複数の権限が存在する場合には各権限のアカウントを準備する)
- 診断用データ準備
- 診断時の影響有無の事前確認
- サーバーダウンなど、有事の際の対応窓口の明確化
- セキュリティ担当部門
- セキュリティポリシー・ガイドラインとの整合
- 診断結果の共有フロー確立
- 法務・コンプライアンス部門
- 委託契約や秘密保持契約(NDA)の締結
- 情報管理上の注意事項の確認
- 業務部門・現場担当者
- 本番サイト・アプリ等、業務への影響有無の確認
- 必要に応じて業務スケジュール調整
- 情報システム部門
- 診断会社へのヒアリング・情報提供
- システムの構成図や認証情報、環境情報など、診断に必要な資料の準備
- 疑問点の整理
- 診断スケジュールと流れの確認
- 社内外でのスケジュール感の共有
- 診断後の再診断や結果報告会など、希望するオプションの整理
セキュリティ診断の手順については、「脆弱性診断って何? 脆弱性診断を受けたい場合はどうすればよいですか?」でもご紹介しています。
なるほど!このポイントをおさえておけば初めてでも安心ミア。
高木さん
最初は不安なことも多いと思いますが、診断会社の担当者とコミュニケーションをとりながら、気になることやわからないことは率直に相談してみてくださいね。
少しでも疑問があれば積極的に聞いてみる、これが成功のポイントってことミア!
高木さん
そうですね。ユービーセキュアでは、自社開発の診断ツール「Vex」を活用した簡易的な診断サービスから、コンサルタントによる権限や認証の手動確認を含む精度の高い診断サービスまで、幅広いメニューを用意しています。
メニュー選びで迷われる場合はコンサルタントがお客様の診断対象システムを確認し、最適な診断プランをご案内することも可能です。ぜひお気軽にお問い合わせくださいね。
ユービーセキュアならツールも手動も組み合わせて柔軟に対応してくれるんだね。ますます相談してみたくなったミア!今日はいろいろ教えてくれてありがとミア!
