独立行政法人情報処理推進機構(IPA)は7月31日、「脆弱性診断内製化ガイド」を発表した。
「脆弱性診断内製化ガイド」では、脆弱性診断の基本概念や外部発注と内製の違い、内製チームの構成と導入ステップ、関連組織との連携方法について体系的に整理しており、脆弱性診断の内製化を検討する企業が自社のリソースに合わせ、どのように診断体制を構築・運用すればよいか具体的にイメージできるような構成としている。
同書の構成は下記の通り。
・第1章:はじめに
脆弱性診断の重要性や内製化を取り巻く背景、本ガイドの目的と適用範囲を紹介。
・第2章:脆弱性診断について
脆弱性の基本概念、診断の種類や手法、セキュリティ全体における診断の位置付けを整理。
・第3章:外部発注と内製の違い
外部発注と内製それぞれの特徴・コスト構造・メリット・デメリットを比較し、検討材料を提示。
・第4章:内製化に必要な組織体制と人材
経営層の関与、診断チームの役割・構成、関係組織との連携体制について解説。
・第5章:内製化の進め方と継続的改善プロセス
スモールスタートから全社展開までの段階的導入ステップと品質向上の取り組みを提示。
・第6章:関係組織との連携とセキュリティ意識の醸成
システム開発時・運用時の診断プロセスにおける組織連携の在り方や、社内のセキュリティ意識向上施策を解説。
・第7章:人材確保・育成
脆弱性診断に必要な人材の採用戦略やスキル育成、モチベーション維持とキャリア設計など、人材面のアプローチを紹介。
・第8章:ツール選定におけるポイント
脆弱性診断ツールの概要や選定基準、活用上の留意点を紹介。
・第9章:謝辞
本ガイド作成にあたり協力のあった関係者への感謝を記載。
・付録A:技術検証結果について
ガイド作成時に行った技術検証の概要と検証結果を補足資料として掲載。
同ガイドはPDF65ページで構成され、IPAのホームページからダウンロード可能。
