今回、顧客にて実施した脆弱性診断について、診断結果の妥当性確認および整理を行いました。新たに診断をやり直すのではなく、すでに提出されている診断レポートを前提に、次の観点で確認を行いました
- この診断内容で十分と言えるのか
- 顧客ニーズやシステム特性と合致しているのか
- 次の意思決定に使える状態になっているのか
実施した内容
今回対応した主な内容は以下の通りです。
・脆弱性診断レポートの内容確認
・一般的な脆弱性診断サービス水準との比較
・対象システムの構成・利用実態を踏まえた妥当性評価
・診断結果として不足している観点の洗い出し
・次回診断に向けた考え方の整理
私はこれまで、ペネトレーションテストおよびWebアプリケーション脆弱性診断を提供する企業で代表を務めるとともに、エンジニアとして診断サービスの設計や実施にも関わってきました。
そのため、
・診断ベンダー側の制約や前提
・診断を受ける側が本来期待しているアウトプット
の両面を踏まえた整理を行っています。
確認の結果と整理ポイント
確認の結果、今回の診断は形式的には成立しているものの、
・診断対象や前提条件が十分に言語化されていない
・自動診断と手動確認の役割分担が不明確
・運用・設計上のリスクが診断の射程外に置かれている
・診断結果の使い道(判断主体・判断内容)が整理されていない
といった点が見受けられました。
診断結果そのものが誤っているというよりも、
「診断の前提」と「結果の位置づけ」が整理されていないことが、
判断のしづらさにつながっている状態でした。
RFI / RFPに転用可能な形での整理
そこで今回は、
・どのような観点で診断を設計すべきか
・外部ベンダーに何を求めるのか
・成果物として何が必要か
といった考え方を整理し、
RFI / RFPにそのまま転用可能な文言として提示しています。
これにより、
・次回の診断ベンダー選定がしやすくなる
・診断結果を是正判断や追加投資の材料として使える
・「やったかどうか」ではなく「説明できる診断」になる
ことを狙っています。
補足
脆弱性診断は、実施すること自体が目的ではなく、
意思決定に使える状態になっているかどうかが重要です。
デジタルエイジでは、
・すでに受けた診断結果の整理・妥当性確認
・診断をやり直す前段階での壁打ち
・次回診断に向けた前提条件・依頼内容の整理
といった支援も行っています。