脆弱性を見つけ出す 重要度の高いWebアプリケーションに対して,ユーザー各社はさまざまな方法で脆弱性の有無を確かめている(図5)。大別すると,ユーザー企業やSIベンダーが自前でテストする方法と,セキュリティ・ベンダーなど第三者が提供する監査サービスを受ける方法がある。 図5 ユーザー各社が採用する脆弱性テストの方法 ユーザー企業の担当者が自前でできれば望ましいが,限界もある。 多くのユーザーは,セキュリティ・ベンダーの監査サービスを利用している【クリックで拡大】 チェックリストを作り自前で点検 スキルさえあれば,ユーザー企業やSIベンダーの担当者が自前で脆弱性をテストすることが望ましい。 セキュリティ・ベンダーに依頼すると,数十万~数百万円のコストと,1週間~数カ月の期間がかかってしまうからだ*5。 *5 セキュリティ監査サービスは一般的に,対象範囲やきめ細かさで料金が決ま