Flatt Security、ビジネスリスクの高い脆弱性を集中的に探索する「リスクフォーカス型プラン」

　株式会社Flatt Securityは18日、Webアプリケーションなどに対するセキュリティ診断（脆弱性診断）の新プランとして、短期間・低コストでビジネスリスクの高い脆弱性を集中的に探索可能な、「リスクフォーカス型プラン」を提供開始すると発表した。

　Flatt Securityによれば、従来のセキュリティ診断では、決められたコストの範囲内で診断を行おうとする場合、診断対象となる機能を絞り込む「スコープ」を行い、診断対象のセキュリティリスクを網羅的に調査・検証していくのが一般的だったという。しかしこの手法では、診断対象となる機能に対して網羅的に診断項目を検証するため、ビジネス上の優先度が低い脆弱性の調査にも工数が割かれる、スコープを行うために見積開始から発注までの時間的コストや工数がかかる、診断対象となる機能が本来の診断範囲とすべき対象から狭くスコープされる、といった課題があったとのこと。

　これに対して、今回提供するリスクフォーカス型プランは、セキュリティエンジニアが診断対象プロダクトの仕様を鑑み、深刻度の高い脆弱性が存在すると推測される箇所から優先付けを行って診断するもので、一般的な網羅型のセキュリティ診断と異なり、診断項目の網羅性はない代わりに、ビジネスリスクの高い脆弱性を、より低コストかつ集中的に探索できるとした。

一般的な網羅型診断における診断範囲

リスクフォーカス型プランの診断範囲

　また同プランでは、セキュリティエンジニアが開発組織外部の立場から擬似攻撃し、脆弱性を調査する「ブラックボックス形式」の診断に加え、必要に応じ、ソースコードを調査・検証して脆弱性をチェックする「ホワイトボックス形式」の診断も実施する。

　Flatt Securityでは、例えば250APIのプロダクトを対象に診断を実施する場合、スコープを実施しない一般的な網羅診断と比較して、見積期間を75％短縮できるほか、費用を50％低減できると、その効果を説明。診断実施期間は最短2週間から調整できるので、大規模な診断をコストパフォーマンス良く実施したい場合に加え、短期間でネクストアクションの策定をしたい場合などにも適しているとした。

　なお同プランは、Amazon Web Services（AWS）・Google Cloud Platform（GCP）、Microsoft Azureといったクラウド環境の診断、Webアプリケーション診断をはじめとするさまざまな診断メニューとの組み合わせが可能で、大規模・複雑なプロダクトを対象としたセキュリティ診断を、これまで以上に短期間かつ低コストで実施できるようになるとのことだ。