脆弱性管理・診断ツール導入【SIer】 
開発したシステムや社内インフラの脆弱性を定期的にスキャンし、管理するツール(Tenable, Vuls等)を導入する施策です。納品前のセキュリティ診断を内製化し、コスト削減とスピードアップを図ります。Log4jのような緊急性の高い脆弱性にも即座に対応します。メリットは、品質担保と、セキュリティ事故の未然防止です。
 職種 |
情報システム |  施策難易度 |
★☆☆☆☆ |
|---|---|---|---|
 業界① |
IT・情報通信 |  目的 |
セキュリティ 品質向上 |
| 業界② |
SIer |  対象 |
セキュリティ担当 情報システム部門 開発・QAチーム |
 費用 |
100〜1000万円 |  実施期間 |
90 |
主なToDo
- 管理対象のアセット(サーバー、アプリ)を登録する
- 定期スキャンを設定し、スコアの悪い順に対応指示を出す
- CI/CDに診断を組み込み、開発段階で潰す(Shift Left)
期待できる効果
システムやインフラの脆弱性を定期スキャンしリスクを可視化。納品前のセキュリティ診断を内製化することで、外注コストを削減しつつ迅速な修正を可能にし、重大な事故の可能性を事前に徹底排除します。
躓くところ
日次で検出される膨大な脆弱性情報に対し、修正の優先順位を冷静に判断し即座に対応を行う、現場の技術リソース確保が困難です。業務システムへの動作影響を懸念する部署との、パッチ適用時期の調整も課題となります。
狙えるチャネル
