IPA 脆弱性診断内製化ガイド (2025.07.31)

こんにちは、丸山満彦です。

IPAが、脆弱性診断内製化ガイドを公表していますね...

ICSCoEということで、門林先生、満永先生... 上野さんとかも...

 

---

... 脆弱性診断については多くの企業が外部ベンダーへ発注するケースが一般的ですが、脆弱性の増加やリリースサイクルの高速化により対応しきれないケースが増えつつあり、内製化への関心も高まっています。

こうした背景を踏まえ、当プロジェクトでは「脆弱性診断内製化ガイド」を作成しました。...

---

 

ということのようです...

● IPA

・2025.07.31 脆弱性診断内製化ガイド

 

第1章　はじめに
脆弱性診断の重要性や内製化を取り巻く背景、本ガイドの目的と適用範囲を紹介します。	1.1 背景
	1.2 本ガイドの目的
	1.3 想定読者・適用範囲
	1.4 本ガイドの構成と読み方
	1.5 利用規約
第2章　脆弱性診断について
脆弱性の基本概念、診断の種類や手法、セキュリティ全体における診断の位置付けを整理します。	2.1 脆弱性とは
	2.2 脆弱性診断とは
	2.3 脆弱性診断の対象範囲と位置付け
	2.4 脆弱性診断の種類
	2.5 脆弱性診断の手法
	2.6 診断アプローチと選定のポイント
	2.7 セキュリティ全体における脆弱性診断の位置づけ
	2.8 本章のまとめ
第3章　外部発注と内製の違い
外部発注と内製それぞれの特徴・コスト構造・メリット・デメリットを比較し、検討材料を提示します。	3.1 本章の目的
	3.2 外部発注と内製を考えるうえでの基本的な視点
	3.3 内製化の特徴と考慮点
	3.4 外部発注の特徴と考慮点
	3.5 外部発注と内製のコスト構造の違い
	3.6 外部発注と内製のメリット・デメリット
	3.7 ハイブリッド運用という選択肢
	3.8 本章のまとめ
第4章　内製化に必要な組織体制と人材
経営層の関与、診断チームの役割・構成、関係組織との連携体制について解説します。	4.1 本章の目的
	4.2 経営層の関与と推進体制
	4.3 内製チームの役割とブランディング
	4.4 チーム構成と役割
	4.5 組織横断的なコミュニケーションと関係組織連携
	4.6 本章のまとめ
第5章　内製化の進め方と継続的改善プロセス
スモールスタートから全社展開までの段階的導入ステップと品質向上の取り組みを示します。	5.1 本章の目的
	5.2 事前に決めておくべきこと
	5.3 ステップ 1：スモールスタートによる段階的な運用開始
	5.4 ステップ 2：手動診断の段階的な導入
	5.5 ステップ 3：全社・グループ展開
	5.6 品質向上と継続的改善
	5.7 本章のまとめ
第6章　関係組織との連携とセキュリティ意識の醸成
システム開発時・運用時の診断プロセスにおける組織連携の在り方や、社内のセキュリティ意識向上施策を解説します。	6.1 本章の目的
	6.2 仮想企業における組織モデルの概要
	6.3 開発時のリリース前診断
	6.4 運用中の定期診断
	6.5 組織間セキュリティ意識の醸成
	6.6 本章のまとめ
第7章　人材確保・育成
脆弱性診断に必要な人材の採用戦略やスキル育成、モチベーション維持とキャリア設計など、人材面のアプローチを紹介します。	7.1 本章の目的
	7.2 人材確保の基本的な考え方
	7.3 新卒・中途採用のポイント
	7.4 人材育成
	7.5 モチベーション維持とキャリアパス
	7.6 本章のまとめ
第8章　ツール選定におけるポイント
脆弱性診断ツールの概要や選定基準、活用上の留意点を紹介します。	8.1 本章の目的
	8.2 有償ツールと無償ツール
	8.3 AI・自動化技術の動向
	8.4 本章のまとめ
第9章　謝辞
本ガイド作成にあたりご協力いただいた関係者への感謝を記載しています。
付録A 技術検証結果について
ガイド作成時に行った技術検証の概要と検証結果を補足資料として掲載しています。	A.1 概要
	A.2 VulnHub 環境１に対するプラットフォーム診断
	A.3 VulnHub 環境２に対するプラットフォーム診断
	A.4 BadTodo に対する Web アプリケーション診断
	A.5 検証で得られた知見