脆弱性診断を実施するタイミングと予算

今回のテーマは「実際の脆弱性診断のタイミングと予算」です。多くの企業が直面する「いつ診断を行うべきか」「予算をどう調整するか」といった疑問に対して、少しでも役に立つヒントをお届けします。SSTの脆弱性診断の計画から実施、アフターフォローまでを担当しているメンバーにインタビューし、お客様の傾向や事例を交えて紹介します。

どのタイミングで脆弱性診断を実施しているのか？

Q.脆弱性診断は一般的にどのタイミングで行うのか？

脆弱性診断は、「Webサービスの構築や新機能の追加、リニューアル時」と「半年や1年といった定期的な実施」のタイミングで行われることが多いです。

SSTでは、監査的な診断を定常的に受け持っているケースもありますが通常の診断案件全体でいうと、サービスリリースや新機能のリリースの前に実施するのが8割くらいです。体感値としては、サービスリリースや新機能の追加時に診断を実施し、残りの1〜2割が定期的な診断を行っています。

ただ単純に分けるのは難しいです。追加機能がないのに、定期的に診断をするケースはほぼ無いですから。常に改修を行っているSaaSのようなアプリケーションは、改修の入った箇所を定期的に診断している例が多いです。つまり、何らかの改修が脆弱性診断実施のトリガーになっています。

Q.定期的に脆弱性診断を行うサービスや企業の共通点は？

定期的に脆弱性診断を実施する場合は、診断スケジュールをあらかじめ設定し、そのタイミングで追加・改修された機能を一括して診断することが多いです。

このように定期的に脆弱性診断にコストをかけられるのは主に大企業です。そもそも、日本の企業で脆弱性診断を外部に依頼している企業は多くありません。その中でも定期的に診断を受けている企業はさらに少なくなります。中小規模の企業では、サービスのリリース前に単発的に診断を行う傾向が高いです。

Q.不定期での脆弱性診断についてのよくあるケースは？

BtoBサービスを提供している中小企業だと、エンドユーザーの企業から「脆弱性診断を受けていますか？」との指摘や、同業他社で発生したインシデントのような「外部要因」をきっかけに実施されるケースがあります。

また、セキュリティに詳しい人材が経営層や事業責任者として新たに加わったことをきっかけに、これまで行われていなかった脆弱性診断を実施するケースも見られます。さらに、自社でセキュリティインシデントが発生し、その再発防止策として脆弱性診断を実施する場合もあります。

狙い目のタイミングは「閑散期」と早めの予約！

Q.診断依頼が重なる繁忙期や、余裕のある閑散期はあるのか？ 

年末年度末、決算期末の重なる時期には、やはりSSTに限らず多くの診断企業も混み合います。体感的には、4月〜8月がリソースに余裕があり、診断スケジュールの調整もしやすいため、この期間の診断をお勧めします。

Q.開発スケジュールが診断スケジュールに与える影響は？

開発スケジュールは、後ろ倒しになることがほとんどですよね。それにともなって診断のスケジュールも後ろに倒せるかというと、繁忙期には動かせないケースが多々あります。診断開始日が後ろ倒しになっても診断完了日は変更ができず、対象数を大幅に削らないとSSTでは対応できない、という説明を行う場合もあります。閑散期ならば調整が可能なことも比較的多いです。

Q.スケジュール調整のためのコツは？

繁忙期・閑散期を問わず、なるべく早めにご相談いただければ、調整できる可能性も高まります。理想的なのは「閑散期＆3か月前のご依頼」です。診断の都合でサービスのリリース時期を決めることはあまりないとは思いますが、もしタイミングを閑散期に合わせられるのであれば、お勧めします。

脆弱性診断の実施が確定した時点で、早めに予約を入れていただくのが確実ですが、開発スケジュールの影響でキャンセルが発生することもあるので、意外と直前の日程が空いていたりもします。急すぎる診断依頼だからダメだろう、と思わず諦めずにご相談ください！

予算にまつわるエトセトラ

Q.継続的に診断されている企業の場合、毎回の予算の変化や傾向は？

継続的に診断される企業では、依頼毎に予算額が大きく変わることはありません。前年度の予算をベースにして同程度の予算で依頼されるケースが多いと思います。あと、診断対象となるサービスやその企業の業績・売り上げに、セキュリティに掛けられるコストも依存しますよね。サービスの売り上げが伸び悩んでしまい、定期的な脆弱性診断の依頼がなくなってしまうこともあります。

サイトを大幅にリニューアルしたのに合わせて、全画面の診断を依頼されるといった場合は、定期的な予算に加えて単発の特別予算を組んで依頼される場合もあります。経年の傾向というよりは、その時々に必要な診断ボリュームに合わせて予算を決められているのではないかなと思います。

Q.依頼企業が予算の確保に苦労していることは？

見積りを依頼される段階で、大枠の予算はすでに確保されています。診断の必要性を企業が認識しているため、予算確保に苦労されているケースは少なく、その予算枠に収まるか否かで、SSTに依頼するかどうかを決めるケースがほとんどです。診断の必要性を企業が認識していることが前提です。セキュリティに掛けられる予算枠が設定されており、その範囲内でどこまで対応できるかを調整する形になります。

Q.SSTでは、希望予算に対してどのように対応している？

予算と診断を希望される範囲にギャップがある場合は、SSTでは予算に合わせた診断対象範囲を提案します。SSTの診断メニューはすべて「徹底的に検証する」が基本であり、見積り金額を調整するには診断範囲を変えるしかないんですね。他社では、予算に応じて診断項目数を変えたり、検証の深さを加減して診断するプランもありますが、SSTではその方法を取り入れていません。理由は、セキュリティ上もっとも重要な機能を優先的にしっかりと診断し、効果的なセキュリティ対策に繋げることが大切だと考えているからです。診断の質を損なわずにリスクを軽減するために、適切な範囲での診断を重要視しています。

具体的には、予算と診断対象となる画面数などを事前にお知らせいただいて、対象画面をすべて診断するとこのくらい、予算内に収めるなら対象範囲はこの画面数、といった形で提案しています。または、重要な箇所を選定して「この部分は今回の診断で対応し、予算内に収まらなかった部分は次回に診断する」といった形で、診断時期の分散を提案することもあります。診断企業としては、可能な限りすべての範囲を診断するのがベストという考えを前提にしたうえで、予算に合わせる次善の策です。

なるべく網羅性を損なわないようにしたうえで、診断対象範囲を絞る提案ができる場合もあります。例えば、サイト内でABCDと複数の機能があるけれど、AをコピーしてBCDを作っているのであれば、Aだけを診断して問題が検出されたら、BCDにも同様の問題がないか自社で確認するといった形です。あくまでもしっかりと診断を行って、リスクを軽減するという目的に沿って調整しますので、スケジュールやタイミングと合わせて気軽にご相談ください。

押さえておきたい！ポイント

さいごに、下記ポイントを押さえて、脆弱性診断のタイミングと予算に関する理解を深めましょう。本記事が、皆さまの安全なWebサイト運用に少しでも役立つことを期待しています。

 

• 脆弱性診断の実施タイミングを見極める
  • 脆弱性診断は、システムの新規リリースや機能追加の前、または定期的に行うのが一般的です。特に改修が頻繁に行われるシステムやサービスにおいて、定期的な診断は重要です。
• 閑散期を活用する
  • 脆弱性診断の依頼は、繁忙期を避けることでスケジュールの調整が容易になります。SSTでは、4月〜8月の閑散期に診断を依頼するのがオススメです。
• スケジュール調整はとにかく早めに
  • 脆弱性診断の予約は早めに行うことで、希望するスケジュールに合わせやすくなります。特に、閑散期に3か月前に依頼するのが理想です。しかし、急すぎる診断依頼だからダメだろう、と思わず諦めずにご相談ください。
• 予算変動に対応する
  • 脆弱性診断の予算は、システムの規模や診断範囲によって決まります。定期的な診断は、前年度の予算を基にすることが多いですが、大規模なリニューアル時には特別予算が必要になるケースもあります。
• 予算内の調整方法を知る
  • 診断会社によって予算に合わせた調整方法は異なります。調整内容の詳細を把握し、効率的な範囲で対応する方法を考えることが重要です。SSTでは、予算に合わせた診断範囲を提案し、診断の質を保ちつつ、効率的な対応を心がけています。

 

---

 

取材協力メンバー
高橋（プロジェクト推進チーム リーダー）
大田（プロジェクト推進チーム）
佐川（プロジェクト推進チーム）

※SSTのプロジェクト推進チームは、お客様のニーズに合わせた脆弱性診断の計画から診断の実施、報告書の提出、その後のアフターフォローまで一貫してサポートします。