脆弱性診断を内製化してみてわかったこと/セキュア開発の始め方 | 株式会社神戸デジタル・ラボ Kobe Digital Labo(KDL)KDLはシステムの要件定義、設計、開発段階から脆弱性を作りこまない「セキュア開発」に取り組んでいます。主に既存のシステムをターゲットとした脆弱性診断やさまざまな対策支援サービスを展開しているKDLが、なぜ「セキュア開発」に取り組むようになったのか? きっかけとなったのは、納品前の脆弱性診断を開発側で内製化したことでした。今回は脆弱性診断の内製化のメリットや気づきをご紹介します。 脆弱性診断とは 脆弱性診断とは、システムの脆弱性を見つける検査のことです。攻撃者の視点から様々な疑似攻撃をしかけ、潜在的な脆弱性を発見するものです。攻撃するには、ウェブアプリケーションに関する知識、攻撃する手法や最近の流行など、専門的な知識が必要になります。 経緯とわかったこと 従来KDLでは、開発したシステムの納品前にセキュリティ事業部が脆弱性診断を実施していました。しかし、もっと早いサイクルで診断を実施していく
