Flatt Security、脆弱性診断サービスにソースコード診断を無料で付帯

　株式会社Flatt Securityは7日、「セキュリティ診断」（脆弱性診断）サービスの標準メニューである「ブラックボックス診断」において、ソースコード診断（部分的なホワイトボックス診断）の無料付帯を開始すると発表した。

　Flatt Securityではこれまで、セキュリティ診断の標準メニューとして、攻撃者の立場を再現し、外部から得られる情報だけを用いて攻撃を試みることで、脆弱性の有無を判断するブラックボックス診断を提供してきた。例えばWebサービスの場合は、ユーザーが送信したデータとサーバーから受け取るデータ（入出力）などから脆弱性を探索している。

　こうした「ブラックボックス診断」は、診断手法がある程度確立されており、実施料金も安価になることが多いというが、脆弱性の発見精度に課題があるほか、脆弱性を発見した際の原因究明や調査が難しい場合があったとのこと。

　一方、システムのソースコードや仕様書などを通じてシステムの内部ロジックを解析し、脆弱性の有無を判断する診断手法「ホワイトボックス診断」も存在しており、ブラックボックス診断と比べて、脆弱性の発見精度が優れていたり、よりシステム改修につなぎやすい診断報告を提供しやすかったりする代わりに、診断を行うエンジニアの技術力に依存するところが大きく、解析対象の増加に伴って診断工数も増えることから、実施料金も高額になる場合が多くなっているという。

　Flatt Securityでは今回、サービスの強化を図るため、セキュリティ診断の標準メニューである「ブラックボックス診断」に、ソースコード診断（部分的なホワイトボックス診断）の無料付帯を開始した。「ブラックボックス診断」の結果に応じて、必要な場合のみ部分的な「ホワイトボックス診断」を行うことで、「ホワイトボックス診断」の強みである充実した診断報告と、「ブラックボックス診断」の強みである低い診断コストの両立を図るとしている。