ウェブアプリの脆弱性検査
ウェブアプリの脆弱性検査、というものを受けたことがあります。専門の会社に依頼して、20ページで100万円ちょっとでした。AJAX が登場したいま、何を1ページと数えるかは悩ましいのですが、とにかく、リストプライスは20ページ100万円ちょっとでした。高いか安いかは何とも言えませんが、不安感が減ることは確かです。受けておけば絶対に大丈夫というものではないにせよ、いつ起こるとも知れぬ個人情報漏洩に、常にびくびくしているより幸せです。
<p>注意して作っていても、検査を受けると、やはりいくつかの脆弱性が発見されます。その過程で、よりセキュアにする方法を学び、その後の仕事にも活かすことができました。常に最新のセキュリティトレンドに頭をアップデートするためにも、年に一回くらい、このような機会に恵まれるとよいのですが。本やWebでセキュリティの記事を読むよりも、目の前に確かに問題が存在する、という状況のほうが頭に残ります。</p>
<p>お金が有り余っているわけでもなかったので、20ページを2回に分けて検査してもらいました。最初に10ページくらい。そこで発見された脆弱性に対処して横展開して、さらに開発が進んだ所でもう一回。3回に分けれらないか、と交渉したら、さすがにそれは断られました。</p>
<p>発注したのは、とあるセキュリティコンサルティング会社だったのですが、そこでやるのはインフラ系の検査のみ。外部から自動化されたツールでアタックをかけて、結果をレポートしてくれるサービスです。技術の会社というよりは、営業とコンサルティングの会社であるように見受けられました。</p>
<p>Webアプリの脆弱性検査のほうは、その営業会社から、さらに別の会社に発注されていました。下請けに出して、マージン取って質も下がるのかなと心配していたら、そこの会社の人は、体の芯まで技術系、みたいなプロの方でした。お話していて、いろいろと勉強になりました。知名度は無い会社ですが、ホームページを拝見すると、高木浩光さんも関わっていました。それだけで安心感倍増。</p>
<p>その会社でも、脆弱性検査のコアな部分ができる人は数人しかいないとのことです。やはり、k可能であるなら、セキュリティは専門家にかかわってもらうのが一番よいですね。コストとのトレードオフですが、素人が中途半端にやっても、どこまで安心してよいのか、判断がつきません。</p>