LoginSignup
aoaoao
@aoaoao (Shohei Aoyama)

Are you sure you want to delete the question?

Leaving a resolved question undeleted may help others!

新規事業の脆弱性診断のタイミングについて

Q&A

Closed

新規事業脆弱性診断

新規事業の脆弱性診断のタイミングについて

現在、WEBサービスの新規事業開発を行っておりまして、
どのタイミングで脆弱性診断をすべきかを検討しております。
正式なリリースまでに、試験運用期間が半年あり、
試験運用前に脆弱性診断を行った方がよいか悩んでおります。
試験運用前に脆弱性診断を行った場合、安全性が高まると思いますが、
正式なリリース前に再度脆弱性診断を行う必要なども出てくるなどが
今の懸念点です。

事業内容、開発内容による、その会社が決めること
という結論になるかと思いますが、
判断材料や考え方を教えていただければ嬉しいです。
※新規事業のため詳細が記載できず、恐縮です。

新規事業スケジュール

1.システム開発(プロトタイプ)
2.プロトタイプの試験運用(6カ月間、ユーザー50名程度に制限)
3.試験運用を経て、システム開発(リリース)
4.正式リリース

-前提条件-
・開発はすべて外部の開発会社に委託している。
・脆弱性診断も外部の会社へ委託予定。
・フレームワークはruby on rails
・脆弱性診断は正式リリースまでには必ず行う。(社内ルール)
・正式リリース後の市場規模100万人程度。
0

4Answer

blue32a
@blue32a

私はセキュリティの専門家ではないのですが、質問には曖昧に感じられる部分があるので、その部分を指摘することで考えるヒントになればと思います。

まず、「脆弱性診断を行った場合、安全性が高まる」という点には誤解があります。それは「診断しても安全性は高まらない」という点です。例えば「体重計に乗っただけでは体重は減らない」「健康診断を受けただけでは健康にならない」のと一緒です。つまり診断結果を受けてから実際に安全性を高めるためのプロセスが曖昧なのではないか、という印象を受けました。
箇条書きにまとめると次のような点を深められそうです。

  • 診断そのものにかかるコスト
  • 診断結果を受けて安全性を高めるためのプロセスやコスト
  • 追加の診断を行うことは、正式リリース前の診断にどのような形で影響を与えそうか

さらに、「安全性が高まる」という点も曖昧に感じます。安全性とは誰にとってのものでしょうか?利用者ですか?それとも運営会社でしょうか?あるいは開発チームですか?また、安全性が損なわれるとどのようなリスクが有り、リスクが顕在化した場合にどのような損失が考えられるでしょうか?安全性やそのリスクについて考えることで、脆弱性診断の目的がはっきりしそうです。

最後に、「追加の診断」と「安全性」についての関係性です。安全性についてのゴールは「正式なリリース前の診断をクリアすること」だと見受けられます。逆に言うと「それ以上安全性を高める強い理由」は示されていません。なので「追加の診断」の目的は「安全性を高める」というよりは「正式なリリース前の診断を"スムーズに”クリアすること」なのではないか、ということを感じました。「追加の診断」の目的について深めてみることは判断の材料になるかもしれません。

具体的な回答にはなりませんが、これらについて考えることで目的やトレードオフになっているものが明確になるのではないかと思います。参考になれば幸いです。

2Like

Comments

  1. @aoaoao

    Questioner

    ご回答いただきまして、誠にありがとうございます。
    ご指摘いただいた内容の通り、問題に対する解像度が低かったことに気づかされました。

    "診断結果を受けて安全性を高めるためのコスト"について、詳しく詰められていませんでしたので、考えます。
    ※最初の診断については、脆弱性診断会社様にお見積りをいただいておりました。

    また、"追加の診断を行うことは、正式リリース前の診断にどのような形で影響を与えそうか"についても、各診断についての目的、行った際のコスト、行わなかった際のリスクについて、深められていなかったです。

    特にリスクについて漠然としていたと気づきましたので、リスクと費用を天秤にかけて
    判断していこうと思いました。

    安全性については、ユーザー様の個人情報が流出されないことを目的としているところですので、ここからさらにリスクを深掘っていきたと思います。

    大変貴重なご意見ありがとうございます。

shaoyongyang
@shaoyongyang

OSCP資格を持って、セキュリティー有識者です。
攻撃者の視点から話させていただきます。
外部ネットをスキャンされる頻度はかなり高くて、なので、はアプリケーションをデプロイする後、早速に外部ネットのセキュリティー診断を行うことが一番推奨です。

ソースコードの分析や企業内部ネットワークの強固は適当な時間に実施すればよいです。

2Like

Comments

  1. @aoaoao

    Questioner

    大変貴重なご意見ありがとうございます。
    "アプリケーションをデプロイする後、早速に外部ネットのセキュリティー診断を行うことが一番推奨"のご意見は大変参考になりました。

    攻撃者の視点について、社内、開発会社ともにセキュリティに詳しい人がおらず、仮説でしか議論できておりませんでしたので、とても助かりました。

    ありがとうございます。

Comments

  1. @aoaoao

    Questioner

    ご回答いただきまして、誠にありがとうございます。
    ご返信いただいた内容が安全性の観点からはベストだと思いました。

    前提条件に入れ忘れていたのですが、脆弱性診断も外部に委託しようと思っております。
    委託費用を考えると、なるべく診断回数を減らしたいという考えもありまして、、、
    答えのない質問で恐縮です、、、

BunaImage
@BunaImage

どの程度の堅牢性が必要なのか不明なので
一番堅そうな金融系のサイバーセキュリティ対策について眺めてみてはいかがでしょうか?
https://www.fsa.go.jp/policy/cybersecurity/index.html

一般的にリリースの時期は関係なくプラットフォームやOSを含めて脆弱性は出ますし、
定期検査しつつIPAに報告されたら緊急で塞ぐ必要があります。

緊急対応を少なくするのでしたらリリース前につぶせることが重要ですが
そもそもプログラムへの要求仕様として以下の作り方に準ずるように指定していますか?
https://www.ipa.go.jp/security/vuln/websecurity/index.html

1Like

Comments

  1. @aoaoao

    Questioner

    ご返信遅れてしまい、大変失礼いたします。
    ご回答いただき、誠にありがとうございます。
    業界ごとにサイバーセキュリティ対策の目安が異なるという視点が抜けておりました。
    ありがとうございます。
    拝見させて頂きます。

    また、IPAの「安全なウェブサイトの作り方」の内容については、すべてを指定できていおりませんでした。
    一度社内、開発会社様に確認させていただきます。

    今まで、具体的に根拠となる資料を参考にできていなかったので、共有いただき大変助かりました。

    ありがとうございました。

Your answer might help someone💌

LoginSign Up