「脆弱性診断」受けたことありますか？

「脆弱性診断」 受けたことありますか？ 2025/01/24 Shima Tech Hub #8 アールスリーインスティテュート 西島 www.r3it.com

こんにちは！ アールスリーインスティテュート サービスグループ gusukuユニット デベロップメントチーム マネージャー 西島 幸一郎 @k_nishijima #しまてく ハッカーズチャンプルーのなかのひと https://hackers-champloo.org/ www.r3it.com

• https://hackers-champloo.org/

1ページだけ告知 沖縄のITエンジニアのためのお祭り ハッカーズチャンプルーのお手伝いをしてくれる 実行委員会コアメンバーを募集しています！ 「手伝うよ👍」というかたは、こちらのDiscordまでお越しください。 https://discord.gg/mgXzcF9ZtV www.r3it.com

• https://discord.gg/mgXzcF9ZtV

アールスリーインスティテュート システムの受託開発と 法人向けSaaSの二本立て 創業 社員数 拠点 2000年 46名 大阪 10億 東京 沖縄 みんなの家 年商 ちょい www.r3it.com

琉球ゴールデンキングスのパートナーです 福利厚生です😄 琉球ゴールデンキングス 沖縄アリーナホーム戦 シーズンシート www.r3it.com

本日のお題 第三者による 「脆弱性診断」 受けたことありますか？ www.r3it.com

第三者による「脆弱性診断」の実際 ● どうやって受けるの？ ● いくらかかるの？ ● 受けるとどうなるの？ ● 受けないと死ぬの・・・？ www.r3it.com

対象となるシステム ● ● ● gusuku Customine （グスク カスタマイン） kintoneの機能をノーコードで 大幅に拡張できる法人向けSaaS 2018年9月に正式リリース後、 2019年より毎年1回以上第三者によ る脆弱性診断を受けています www.r3it.com

どうやって受けるの？ ● 診断してもらう会社さんを決めて、 問い合わせ→見積もり→発注 の一般的な発注の流れではありますが... ここで問題ががが... www.r3it.com

一体、どうやって見積もってもらうのか？ 前提：診断の内容や請け負う会社さんによるはずなので注意 ここではAPI = インターネット側から呼び出して動くなにか、ということにしておきましょう ● 例えばサーバ側APIの診断であればとりあえず 外部に公開しているAPIを 一覧する必要がある（or クロールしてもらう） ● ここで胸に手を当てて考えてみよう... www.r3it.com

格言：その1 もしAPI一覧がなかったら いますぐ作ろう &自動的に出るようにしよう www.r3it.com

脆弱性診断って、いくらかかるの？ ● 診断してもらうAPIの数、お見積りによります！ では話にならないのでぶっちゃけると・・・ ● 3桁のAPIがあれば、数百万円は行きます ○ そして指摘があれば、その対応に時間が取られることもお忘れなく ● この金額を、経営側に納得させる必要があります ○ 「攻め」or「守り」の投資と見なすのか ○ ダメージコントロール、あるいは必要経費と認めてもらうのか ○ いずれにしても、対費用効果のバランスを判断する必要がある www.r3it.com

脆弱性診断って、いくらかかるの？ ● 第三者による診断の前に 世に公開されている脆弱性（フレームワークとか、 Webサーバとか）には予め対応しておくように ● それをこの場で指摘されると、 ものすごく時間とコストの無駄になるので注意。 経営陣から継続して投資してもらえなくなる危険性も・・・ www.r3it.com

格言：その2 見積書の金額だけを 見るとビビるが それ以上にコストはかかる と共通認識を持とう www.r3it.com

脆弱性診断を受けるとどうなるの？ ● 最終的に診断結果の報告書がもらえます （サービス・会社さんによります） ● 急を要する脆弱性が発見された場合 速報という形で指摘が入る場合もある ● 開発チームが【脆弱性の考え方】に詳しくなれる www.r3it.com

例えば・・・？ ● エラーメッセージの返し方を深く考えたり 「ユーザーに分かりやすい文言」 VS 「攻撃者に手掛かりを与えない文言」 ● 「共用のPC」の利用をどこまで想定するか、 を考えたり www.r3it.com

こういうのも・・・？ ● 「車のドアをリモコンで開けます」 「車まで歩いていきます」 「その間は誰でも車に乗れちゃいますよね？」 なるほど？😳 ● このような「常識」の認識を合わせ開発チームがどう捉えるか、 技術でカバーするのか運用で対処するのか、 という議論を行うことができるようになる www.r3it.com

格言：その3 第三者の視点を借りて 開発チームが成長する 機会と捉えよう （指摘対応は大変なものもあるけどw） www.r3it.com

脆弱性診断って、受けないと死ぬの・・・？ ● もしこれがYなら、世の中はゾンビだらけ☠ ● toBのビジネスの場合、 「セキュリティチェックシート」という 諸悪の根源にだいたいこれに関する記載がある ○ お客さん側で納得する材料にはなる ○ 開発チームにとっても、良い刺激にはなる www.r3it.com

まとめ ● 費用が許せば、脆弱性診断は受けたほうが良い ○ もちろん「受けておけば万全」ということではない ● 第三者という意味では、隣の開発チームや 社内のセキュリティチームでも、意味はある ● 総じてオススメなので、取り組んでみましょう！ www.r3it.com

再度！告知！ 沖縄のITエンジニアのためのお祭り ハッカーズチャンプルーのお手伝いをしてくれる 実行委員会コアメンバーを募集しています！ 「手伝うよ👍」というかたは、こちらのDiscordまでお越しください。 https://discord.gg/mgXzcF9ZtV www.r3it.com

• https://discord.gg/mgXzcF9ZtV

おわり www.r3it.com