Webサイトのセキュリティ診断：傾向分析レポート2008

各種メディアがとりあげているとおり、NRIセキュアテクノロジーズさんが「Webサイトのセキュリティ診断：傾向分析レポート2008」なるものを公開してくれました。各種メディアさんが紹介していない情報も公開されていますので、是非直接確認することをおすすめします。

Webサイトのセキュリティ診断：傾向分析レポート2008
http://www.nri-secure.co.jp/news/2008/0728_report.html

webセキュリティについてそんなに詳しくありませんが、各Webサイトの開発を請け負っているベンダーさんのシステムテストのレピューポイントに

• "複数の"脆弱性診断ツールを使用して脆弱性が発見されないこと
• 脆弱性診断ツールはテストの時点で最新のバージョンをしていること
  

くらいのチェック項目があれば結果はなかなか違ったものになったのではないかな、と思わせるレポートですね。別のアプローチとしては、（アジャイルな）システム開発でのテストのように自動化を取り入れ、

• 脆弱性診断ツールの定期実行を自動化
• システムに変更があったタイミングで診断ツールの実行

なんてルールを採用してもよさそうな。
人間がやると対策の漏れが出てくるようなら自動化だろう、と。