クラウドの普及・拡大、日々の業務を支える定番ツールとしてフローへの定着が進んでいる。日に一度もクラウドツールに触れないということは、もはやありえないのではないだろうか。こうした業務の効率化を支える数多くのソリューション群は様々な利便性をもたらした一方で、セキュリティ管理を難しく、また複雑なものに変えた。昨今問題となっているサプライチェーンリスクへの対策とともに、IT部門は、まさにどう管理対応を進めていくべきなのか、という問題に直面していることだろう。

どこまでを対象範囲としていくのかは別にして、共通して対策をしていかなければならない項目のひとつに、脆弱性の診断が挙げられる。本資料は「自社に合った診断方法の見極め方」と題して、この脆弱性診断の実施を内製化するか、もしくは外注すべきか、はたまた一部外注（ハイブリッド型診断とするか）という根本的な問題にメスを入れたものとなっている。また、実際にどう診断を実施していくことが自社の状況に対して最適解となるのかを、代表的な実施の方法と利点、課題を交えながら丁寧に解説。「どのような診断方法を選択し、使い分けていくべきなのか」という問いに対する羅針盤として活用できる内容となっている。

ノーコード／ローコードツールの利用拡大やアジャイル開発の増加といった、ソフトウェア開発の周囲にも目を配る必要性も指摘している本資料。コードのブラックボックス化や、抱える脆弱性の拡大＝潜在リスクの増加を未然に防ぐためにも、従来の診断スタイルでは、もはや対策として追いつかない状況になっているとの指摘は示唆的だ。もちろん十分な費用と人的リソースを割く余裕があれば、選択の幅は広くなる。しかしそうすることが自社にとって最適な対策解となることは稀だ。

今、自社が必要としている脆弱性診断の在り方を見直す一助として、様々にご活用いただけるだろう本資料。実際に自社に合った脆弱性診断の在り方を見出した２社の事例も大いに参考としていただけることだろう。すでに対応を始めているという担当者はもとより、状況を客観的に整理し、適切な対応のかじ取りをしていく基礎資料としても、ぜひ一度手にとっていただきたい。