テクノロジー

脆弱性診断内製化ガイド | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構

1: csal8040 2025/08/01 18:44

本ガイドでは、脆弱性診断の基本概念や外部発注と内製の違い、内製チームの構成と導入ステップ、関連組織との連携方法について体系的に整理し、脆弱性診断の内製化を検討する企業が自社のリソースに合わせて、

2: kaputte 2025/08/01 18:55

まあステキ

3: ockeghem 2025/08/01 19:02

拙作のBadTodoが手動診断と自動診断の比較の題材として使われています(付録A)有名な脆弱性でも自動診断では検出が難しいものだなぁと思いました

4: syu-m-5151 2025/08/01 19:34

セキュリティはちゃんとやろうね…

5: rrringress 2025/08/01 22:22

SOCや様々な外注サービスの内製化ガイドも欲しいな

6: defiant 2025/08/01 22:28

この記事をおすすめしました

7: estragon 2025/08/01 22:42

あとで読む。経済安全保障推進法が特定社会基盤事業者に対して、特定社会基盤役務の安定的提供のために必要な特定重要設備の導入時に実施することを求めている脆弱性テストに耐えるかな?

8: FreeCatWork 2025/08/01 23:19

ふむふむ、内製化か…ボクにも診断できるかにゃ?甘えんボイスで脆弱性、退治するにゃ!

9: xtm77 2025/08/01 23:34

まずシステム導入時のサイバー設計、リスクアセスメントマネーメント、監視運用と多岐にわたる導入運用コストを費用負担出来る企業が何社日本に在る?文系大学出身者が幅を効かせる企業集団では難しく死んでくれだな

10: skypenguins 2025/08/01 23:41

シフトレフトしたいなら内製化は必須やな

11: came8244 2025/08/01 23:49

そもそも情報資産をリスト化して管理できている組織が少な過ぎるのよ。診断対象にすべき貴社のアセットはこれで全て網羅されていますか? 正直分からない、というのが本音。そこから事故る

12: Anonymous2000 2025/08/02 00:09

いいじゃん

13: jintrick 2025/08/02 04:54

もう俺はPDFに苛つくことはない。このPDFで簡易RAG組んでってGemini CLIお願いするだけ。積年のPDFへの恨みを晴らしてやったぜ〜 yomitokuありがとう

14: raitu 2025/08/02 06:46

脆弱化診断を内製化する上での入り口として

15: harupu 2025/08/02 06:52

時期によってばらつきがあって、リソース足りない or 稼働を埋めるのが大変、と言う課題もちゃんと書いて欲しい。

16: dominion525 2025/08/02 08:15

後で読まねばならない気がする。

17: remix-cafe 2025/08/02 08:21

みる

18: circled 2025/08/02 08:39

OS周りはdnfやaptで日々更新、アプリ/サービスの依存パッケージ絡みの脆弱性はGitHubのdependabot、あとはsqlmap系診断ツール、ソースコードレベルの解析はaikido.devとか使うと便利(WEBサーバの設定不備やXSS周りも見てくれる)

19: jojoagogo0 2025/08/02 09:37

お、こういうのがちょうど欲しかったところなんですよ。はてブは巡回しておくものだなぁ

20: hogetax 2025/08/02 10:13

外部組織との情報交換の人脈の作り方、教えてくれぃ