システムがセキュリティ侵害を受けないようにするために、WEBシステムに弱点がないかどうかについて検査をしました。

これを一般的に脆弱性診断（ぜいじゃくせいしんだん）と言います。

これ、セキュリティコンサル会社に頼むと結構高いんですよ。
いくつかの例を示しますね。

安いプランでも４０万円とか・・・

別の会社見てもこんな感じ・・・

高いですね。私には払えないｗｗｗ

そして高い理由がわからないです。脆弱性診断って何をやっているかというと、自らのサイトに攻撃をしてセキュリティ侵害ができるかどうかを調べるのです。

攻撃手法ってどんどん進化していきます。ハッカーが新たな攻撃方法を見つけたりします。なので、定期的にやった方が良いのです。

じゃあ、攻撃ってどうやるの？って思うでしょう？

攻撃をして成功するかどうかをレポーティングしてくれるツールがあるのです。これがいわゆる脆弱性診断ツールです。

いまは昔と違っていろんなツールがあるようです。無償のツールもいくつかありますね。

無償のやつは、有償のものより機能を削っているものもありますが、ちゃんとしたものもあります。

例えば、セキュアなプログラミングに関する技術・プロセスを共有する国際的な非営利団体がそのプロジェクトの一環として脆弱性診断ツールを無償で提供していたりします。

そのほかにも、無性版と有償版があって、有償版はユーザーサポートがついているだけで、診断ツールそのものは同じものもあります。

私は、このあたりのツールを使って脆弱性診断を実施しました。

結局無料でできるんですよね。診断結果、問題点が指摘されましたが、セキュリティリスクの高いものは見つかりませんでした。よかったｗ

それ以外の指摘については、修正可能なものは修正しましたので、とりあえずOKです。

実は有償のセキュリティ診断レポートを見たことがあります。ある会社のプロジェクトに参画していときに私が運用リーダだったので、運用しているシステムの診断結果をチェックする立場にいました。某大手企業のおそらく数百万円かかるやつですが、無償のツールを使った診断と大きな違いはありませんでした。

ただし、有償のものは説明が分かりやすいというメリットがあります。

無償のものについては、診断結果（英語）を見てわからないものは調べて対処していかなければなりませんが、私はそれほど苦痛に感じませんでした。何か問題が報告されたからといって、その問題に対処したらシステムの機能的に問題が出るケースもあるため、総合的に判断してどのように対策をすべきかを検討する必要があります。この辺の作業も自分でやらなければならないですが、その経験はノウハウとなって蓄積されるので良いです。100万円払わなくても同等のことができれば無駄がないｗ

ものすごくユーザ数がいて儲かっているシステムならば、セキュリティは外注してもいいでしょうけれど、とりあえずは身の丈に合った対応ということで・・

↑ ここをポチりこお願いいたしますｗ