非公開ユーザー
放送・出版・マスコミ|その他専門職|50-100人未満|IT管理者|契約タイプ 有償利用
その他 セキュリティ,脆弱性診断サービス(セキュリティ診断サービス)で利用
良いポイント
タイトルにあるように、Bitfoestの提供するWeb脆弱性診断ツール「VAddy」は、同様のサービスの中で、かなり低コストで診断ができるサービスです。
私の場合はWebサイトのリニューアル時にシステム部門からIPAのウェブアプリケーション セキュリティ実装チェックリストに沿ったセキュリティ診断を実施するように求められて、該当するサービスを探しましたが、契約期間中は何度も診断を繰り返せるという点が、ありがたかったです。
診断自体ではいくつかの指摘事項があり、そちらを修正するなどして、無事にセキュリティ上の問題点を潰すことができました。
改善してほしいポイント
他の診断ツールでは、WebサイトのTOPページを指定するとクローラーがリンクを元に各ページを辿ってチェックをしてきますが、VAddyでは診断をする際に、対象となるページのリストを作成する必要があります。VAddy側の説明では「1つのテンプレートから出力されたページは複数チェックする必要はない」とありますが、そんなセキュリティ診断が情報システム部門から許されるわけはなく、スクリプトを組んで膨大なページのリストを作成すう必要がありました。
ここだけはVAddyの大きな問題点だと思います。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
メリットはやはりコストの削減です。他のWeb脆弱性診断ツールを使う場合に比べて高いものだと100万円以上コストがかかるので、圧倒的なコスト削減となりました。
検討者へお勧めするポイント
Webサイトの開発時や新サービスのリリース時にセキュリティ診断を実施したい場合、低コストで実施できるのが魅力です。
ただ、対象となるページのリストを作成する必要があるので、大規模なサイトを丸ごと検査したいという場合は、どのようにシナリオを作成するかなどよく検討する必要があります。
また、料金が月額課金なので継続的に利用する場合には他のサービスの方が安くなる場合もあると思いますので、どのくらいのページを、どのくらいの期間、診断を行いたいか、事前に決めて、他のサービスと比較して導入を検討すべきでしょう。
