株式会社Flatt Securityは7月7日、「セキュリティ診断」(脆弱性診断)へのソースコード診断の無料付帯を開始すると発表した。
同社の「セキュリティ診断」(脆弱性診断)には、「ブラックボックス診断」と「ホワイトボックス診断」があり、ブラックボックス診断は同社のセキュリティ診断の標準メニューとなっている。ブラックボックス診断では、攻撃者の立場を再現し、外部から得られる情報だけを用いて攻撃を試みることで、脆弱性の有無を判断している。
ブラックボックス診断は、診断手法がある程度確立されているため実施料金も安価になることが多いが、その一方で脆弱性の発見精度に課題があり、また脆弱性を発見した際の原因究明や調査が難しい場合もあった。
ホワイトボックス診断では、システムのソースコードや仕様書などを通じて、システムの内部ロジックを解析することで脆弱性の有無を判断する診断手法で、診断を行うセキュリティエンジニアの技術力に依存するところが大きく、解析対象の増加に伴い診断工数が大きくなることから、実施料金も高額になる場合が多くなっている。
診断を実施するエンジニアには、診断対象となるシステムの実装に対する理解に加え、開発に関する知見や深い経験が求められる一方で、ブラックボックス診断で困難だった脆弱性の原因究明や調査が実施できる場合があり、システム改修に繋ぎやすい診断報告の提供ができるのが特徴となっている。
同社では今回、セキュリティ診断の標準メニューであるブラックボックス診断へのソースコード診断(部分的なホワイトボックス診断)の無料付帯を開始することで、ブラックボックス診断の結果に応じて、必要な場合のみ部分的なホワイトボックス診断を行うことで、ホワイトボックス診断の強みである充実した診断報告とブラックボックス診断の強みである低い診断コストの両立を図る。
ソースコード診断は、異常な挙動が確認された場合などのさらなる原因究明や調査が必要となった場合や、システム全体の共通処理などの検証を効率的かつ高精度に行うために実施し、従来の診断では非効率な部分に絞って解析を実施することで、診断実施の効率化を図る。
