システム開発における脆弱性診断【現役エンジニアが解説】
今回は、システム開発における脆弱性診断について、現場の視点で簡単に解説していきます。
社内外問わず悪意を持った人間がいる
性悪説ですが、社内外問わず悪意を持った人間はいると考えた方が良いです。
特に社内の人間による個人情報の漏えい事件は多くなっているので注意しましょう。
個人情報のアクセス権限を持つ人間が悪意を持っていると厳しいですが、それ以外の人の悪行を防ぐには脆弱性診断は有効です。
第三者による脆弱性診断も行うべき
一般に開発者が行う脆弱性診断はホワイトボックステストです。
ホワイトボックステストとは中身がわかっている状態で行うテストのことです。
これとは反対に中身が見えていない状態で行うテストをブラックボックステストと呼び、第三者に依頼することで、よりセキュリティを高めることができます。
品質管理に必要不可欠
情報システム部門がある企業ではシステムの品質管理を行っているケースが多いです。
このようなケースでは、脆弱性診断を必須としている可能性が高いため、行う必要があります。
たいていの場合、エビデンスが必要となるため、テストケースをドキュメントにまとめておきましょう。