脆弱性診断(セキュリティ診断)とは?やり方や種類、確認すべきガイドラインを解説
企業が実施するセキュリティ対策は広範囲に渡り、かつ複雑になっています。システムに脆弱性が存在すると、外部・内部からの攻撃によって機密情報の漏洩や金銭的な損失だけでなく、企業の信用にも関わる重要な問題に発展することもあるでしょう。
この記事ではシステムのセキュリティ担当者や情報管理などを行う必要のある方へ向けて、脆弱性診断を導入するメリット・デメリットや診断方法などについて解説します。
目次
[ 開く ]
[ 閉じる ]
- 脆弱性診断(セキュリティ診断)とは
- 脆弱性とは
- 脆弱性診断の目的
- ペネトレーションテストとの違い
- 脆弱性診断(セキュリティ診断)の必要性
- 脆弱性を放置した場合の3つのリスク
- サイバー攻撃の標的になる
- 情報漏洩・金銭的損失が発生する
- 企業の信頼失墜・事業継続への影響
- 脆弱性診断(セキュリティ診断)の主な種類
- Webアプリケーション診断
- プラットフォーム診断(ネットワーク診断)
- クラウド診断
- ソースコード診断(ホワイトボックス診断)
- スマートフォンアプリ診断
- 脆弱性診断(セキュリティ診断)のやり方:手動診断とツール診断の違い
- 手動診断
- ツール診断
- 脆弱性診断の流れ:実施から報告まで3ステップ
- STEP1. 事前準備(診断範囲・目的の設定)
- STEP2. 診断の実施
- STEP3. レポートの確認と対策実施
- 脆弱性診断は外注すべき?社内実施と比較
- 社内実施の場合
- 外注(専門会社への依頼)の場合
- 脆弱性診断に関連するガイドライン・法規制
- 個人情報保護法・改正への対応
- 経済産業省・IPAのガイドラインとの関係
- 脆弱性診断(セキュリティ診断)サービスの選び方
- 診断する範囲で選ぶ
- 診断の深度で選ぶ
- 診断費用で選ぶ
- 診断後のアフターフォローで選ぶ
- 脆弱性診断に関するよくある質問
- 脆弱性診断はどのくらいの頻度で実施すべきですか?
- 脆弱性診断の費用はどのくらいかかりますか?
- 脆弱性診断が必要になるのはどんなケースですか?
- GMOサイバーセキュリティbyイエラエの脆弱性診断サービスを紹介
- まとめ
脆弱性診断(セキュリティ診断)とは
脆弱性診断とは、ネットワーク・OS・ミドルウェアやWebアプリケーションなどに悪用できる脆弱性がないかをチェックして、セキュリティの状態を確認することです。
脆弱性とは
脆弱性(ぜいじゃくせい)とは、OSやソフトウェア、ハードウェアにおいて、情報の安全性を脅かす恐れのある欠陥のことを指します。脆弱性診断を実施することでセキュリティの現状を確認し、現状の課題に応じた適切な対策を実施することで、情報漏洩などのリスクを軽減することができるでしょう。
脆弱性診断の目的
脆弱性診断の目的は、脆弱性を悪用された場合に情報漏えいやシステムが使用不能となってしまうなど、意図的、または意図的ではない侵害につながる可能性のある既知の脆弱性の特定・ランク付け・および報告をすることです。発見された脆弱性は種類(カテゴリ)や危険性(重要度)を「共通脆弱性評価システム(CVSS)」というもので評価し、必要な対策を講じます。
ペネトレーションテストとの違い
脆弱性診断と似たセキュリティ診断にペネトレーションテストがありますが、このふたつは行う目的が異なります。
「脆弱性診断」は、システム全体に対して網羅的な検査を行い、サイバー攻撃のきっかけとなる脆弱性(リスク)を発見するものです。一方、「ぺネトレーションテスト」はシステムに実際に侵入し、現実的な攻撃シナリオを用いて問題点を発見・改善することで、サイバー攻撃の予防につなげるものとなります。
下記に目的・調査対象の違いをまとめました。
| 目的 | 調査対象 | |
|---|---|---|
| 脆弱性診断 | ツールなどを用いて既知の脆弱性の特定・ランク付け・および報告を行うことを目的としている。 | システム全体に対して実施する。 |
| ペネトレーションテスト | 検証対象のシステム構成などに応じた攻撃のシナリオに沿って実施する。特定の脆弱性や問題点を発見することを目的としている。 | 攻撃者の目的を達成できるかを確認するため、検証内容によって異なる。 |
脆弱性診断とペネトレーションテストは双方とも脆弱性などを検出する点では似ていますが、目的と方法が異なります。脆弱性診断ではシステムの不備を網羅的に把握するためにシステム全体に対して実施するのに対し、ペネトレーションテストは実際にサイバー攻撃を受けた際と同様の手法を使い特定の目的を達成できるか確認するために実施するものです。
双方のセキュリティ診断の目的が異なるため、把握したいリスクの内容によって使い分けて行うことが重要でしょう。
脆弱性診断(セキュリティ診断)の必要性
「自社のシステムは大丈夫だろう」と思っていても、脆弱性診断を実施した企業の7〜8割で何らかの脆弱性が検出されるというのが現実です。システムの脆弱性は開発・運用の過程で意図せず生まれるものであり、完全にゼロにすることは難しいといわれています。
現代のビジネスは、ECサイトや業務システム、クラウドサービスなど、インターネットと切り離せない環境で運営されています。こうした環境では、脆弱性を放置しておくと攻撃者に悪用されるリスクが常に存在します。IPA(独立行政法人情報処理推進機構)が発表する「情報セキュリティ10大脅威」では、ランサムウェアによる被害が2021年から4年連続で組織向け脅威の1位を占めており、その多くがシステムの脆弱性を起点としています。
脆弱性診断を定期的に実施することで、攻撃者よりも先に自社システムの弱点を発見し、対策を講じることができます。情報資産の「機密性・完全性・可用性」を守るうえで、脆弱性診断はもはや任意の取り組みではなく、事業継続の基盤となるセキュリティ対策のひとつです。
脆弱性を放置した場合の3つのリスク
脆弱性を抱えたまま運用を続けることは、企業にとって深刻なリスクをはらんでいます。具体的には以下の3つのリスクが考えられます。
- サイバー攻撃の標的になる
- 情報漏洩・金銭的損失が発生する
- 企業の信頼失墜・事業継続への影響
それぞれについて詳しく見ていきましょう。
サイバー攻撃の標的になる
脆弱性が存在するシステムは、攻撃者にとって格好の標的です。攻撃者はインターネット上を常に探索しており、脆弱性の情報が公開されると、パッチ(修正プログラム)が当たっていないシステムを狙って攻撃を仕掛けてきます。これを「ゼロデイ攻撃」「既知脆弱性の悪用」と呼び、脆弱性が発見されてから修正が完了するまでの空白期間が、攻撃者にとって最大のチャンスとなります。
特にランサムウェアはシステムやデータを人質にとり、復旧と引き換えに身代金を要求するサイバー攻撃で、業種や規模を問わずあらゆる組織が被害を受けています。脆弱性診断によって弱点を早期に把握し、対策を施しておくことが攻撃被害を未然に防ぐ最善策です。
情報漏洩・金銭的損失が発生する
脆弱性を悪用されて不正アクセスが発生した場合、顧客の個人情報やクレジットカード情報が流出するリスクがあります。IPAが2024年度に実施した中小企業4,191社を対象とした実態調査では、不正アクセス被害を受けた企業の約5割が「脆弱性を突かれた」ことが侵入経路だったと回答しており、脆弱性の放置が直接的な被害につながっていることがわかります。
さらに、経済産業省の有識者会議に提出された調査データによると、セキュリティ事故を起こした企業では、発生年度の純利益が平均21%下落したことが報告されています。損害賠償・原因調査・対応窓口の設置・再発防止策の実装など、事故後の対応コストは多岐にわたり、中小企業にとっては事業継続を脅かす規模になり得ます。
企業の信頼失墜・事業継続への影響
情報漏洩が発覚した場合、金銭的損失だけでなく企業の社会的信用が大きく損なわれます。経済産業省の有識者会議に提出されたJCICの調査によると、セキュリティ事故を起こした企業の株価は平均10%下落し、東証一部以外の企業では平均15%下落したことが明らかになっています。また、同調査では事故発生年度の純利益が平均21%下落したことも示されており、財務への打撃は甚大です。
自社の被害にとどまらず、サービス停止・遅延や情報流出がサプライチェーン全体に波及するリスクもあり、取引関係の悪化や契約解除につながるケースもあります。信頼を回復するには時間と多大なリソースを要することから、脆弱性診断による予防的な対策がいかに重要かがわかります。
脆弱性診断(セキュリティ診断)の主な種類
脆弱性診断は、診断の対象となるシステムの種類によって、以下のように分類されます。自社の環境や守りたい資産に合わせて、適切な診断の種類を選ぶことが重要です。
| 種類 | 主な診断対象 |
|---|---|
| Webアプリケーション診断 | ECサイト・会員サービス・業務アプリなど、Web上で動作するアプリケーション全般 |
| プラットフォーム診断(ネットワーク診断) | ネットワーク機器・OS・サーバー・ミドルウェアなどのインフラ基盤 |
| クラウド診断 | AWS・Azure・GCPなどのパブリッククラウドの設定・権限管理 |
| ソースコード診断 | アプリケーションのソースコード(ホワイトボックス診断) |
| スマートフォンアプリ診断 | iOS・Androidアプリ固有の脆弱性 |
各診断の詳細を以下で解説します。
Webアプリケーション診断
アプリケーション診断とは、企業が開発したWebアプリケーションに内在する脆弱性を発見する診断手法となります。
調査対象となるアプリケーションはECサイトやゲームアプリ、SNS、バックオフィスなどWeb上で使用できるすべてのアプリケーションが対象となります。Webアプリケーションはお客様のニーズによって様々な機能が実装されており、脆弱性が発見される箇所は千差万別です。使用するプログラミング言語も様々なため、Webアプリケーションの特性に応じた柔軟な診断を行う必要があります。
こうした状況において、Web アプリケーションの脆弱性として知られる「SQL インジェクション」や「クロスサイトスクリプティング」、「なりすまし」などはもちろんのこと、システムの利用環境に合わせた診断方法で調査を実施しシステム停止や情報漏えい・データ改ざん・不正アクセス・認証回避などにつながる脆弱性を洗い出します。
プラットフォーム診断(ネットワーク診断)
プラットフォーム診断とは、Webアプリケーションを使用するためのネットワーク機器やOS、サーバー、ミドルウェアに脆弱性がないか、設定に問題がないかを検査する方法です。
上記の対象に対して、インターネットに公開されているお客さまのネットワーク機器やサーバー等に対して診断を実施し、ネットワークスキャナなどを用いた脆弱性の検出や各種機器の設定状態の確認を行います。新規のWebサービスをリリースする企業や前回の脆弱性診断を受けてから1年以上経過している企業はプラットフォーム診断を実施したほうが良いでしょう。
クラウド診断
クラウド診断は、AWSやAzure・GCPなどのパブリッククラウド環境における設定不備やセキュリティリスクを検出する診断です。クラウドでは、バケットの公開設定ミスや過剰な権限付与、セキュリティグループの設定漏れなど、設定のわずかなミスが大規模な情報漏洩につながるリスクがあります。
企業のクラウド移行が進む一方、クラウド特有のセキュリティ設定は複雑で、担当者でも見落としが発生しやすい領域です。クラウドを活用したサービスやシステムを運用している場合は、Webアプリケーション診断やプラットフォーム診断と合わせてクラウド診断も実施することをおすすめします。
ソースコード診断(ホワイトボックス診断)
ソースコード診断は、アプリケーションのソースコードを直接解析し、コードレベルに潜む脆弱性を検出する手法です。外部からの通信では発見しにくい「論理的な設計ミス」や「認証処理の不備」なども検出できるのが特長です。
開発工程の早い段階でソースコード診断を実施することで、リリース後の修正コストを大幅に削減できます。本番リリース後に脆弱性が発覚した場合、修正・再テスト・再リリースのコストは開発中の修正と比較して数倍以上になるともいわれています。セキュリティを「作り込む」という観点から、特に新規開発プロジェクトで有効な診断手法です。
スマートフォンアプリ診断
スマートフォンアプリ診断は、iOS・Androidアプリが持つ固有の脆弱性を検出する診断です。具体的には、端末内への機密情報の不適切な保存、通信の暗号化不備、バイナリ解析への対策不足などが検出対象となります。
スマートフォンアプリは利用者の手元に直接インストールされるため、アプリそのものが解析・改ざんされるリスクもあり、Webアプリとは異なる視点での診断が必要です。また、AppleやGoogleのストア申請ガイドラインでもセキュリティへの対応が求められており、ユーザー向けのアプリを提供している企業には特に推奨される診断です。
脆弱性診断(セキュリティ診断)のやり方:手動診断とツール診断の違い
脆弱性診断のやり方は、大きく「手動診断」と「ツール診断」の2種類に分かれます。それぞれに特長があり、診断対象のシステムや目的・予算によって適切な方法が異なります。
| メリット | デメリット | |
|---|---|---|
| 手動診断 | 専門エンジニアが診断するため、ツール診断でカバーできない精度の高い診断が可能 | 診断結果が出るまで日数がかかる/費用が高額になる |
| ツール診断 | 短期間・低コストで導入可能/Webブラウザから好きなタイミングで実施可能 | 複雑なサイト構成には対応できず、細部の診断まではできない |
以下では両者の違いを整理したうえで、各診断方法の詳細を解説します。
手動診断
「手動」とは、サイバーセキュリティの専門知識を持つテスト実施者(セキュリティエンジニア)が、対象のWebアプリケーションを自らの手で検査することを意味しています。
例えば、仕様設計上のミスに起因する脆弱性のような機械的には発見が困難な脆弱性も発見できるなど、テスト実施者の経験や知識を駆使しながら検証を行うため自動脆弱性診断ツールの検査精度が勝ることはありません。
ECサイトなど個人情報を扱うサイトは不正アクセスなどによる情報漏えいがビジネスに致命的な影響を及ぼします。そのようなサイトを運営している企業にはおすすめの診断サービスとなります。
ツール診断
ツール診断は、その名の通りツールによる自動診断です。手軽にWebブラウザから使用することができ、診断から結果まで最短5分程度で完了するものもあります。
個人情報などの取り扱いはないWebサービスの場合でも、新規のサービスをリリースする場合などリリース前に脆弱性がないか確認したいという場合におすすめの診断サービスとなります。
脆弱性診断の流れ:実施から報告まで3ステップ
一般的な診断の流れを3ステップで解説します。
- STEP1. 事前準備(診断範囲・目的の設定)
- STEP2. 診断の実施
- STEP3. レポートの確認と対策実施
STEP1. 事前準備(診断範囲・目的の設定)
診断を始める前に、「何を・どの範囲で・どの深度で診断するのか」を明確にしておく必要があります。具体的には、診断対象のURL・ネットワーク範囲・アプリケーション機能の洗い出し、診断スケジュールの調整、サービス事業者との情報共有などが含まれます。
診断範囲が曖昧なまま依頼すると、重要な箇所が診断から漏れたり、不要なコストが発生したりするリスクがあります。「なぜ今診断が必要なのか(新規リリース前・定期点検・コンプライアンス対応など)」という目的を整理しておくと、診断内容の選定がスムーズになります。
STEP2. 診断の実施
事前準備が完了したら、実際に診断を実施します。ツール診断の場合は、Webブラウザからツールを操作して自動スキャンを実行し、最短数分〜数時間で診断が完了します。手動診断の場合は、専門エンジニアが対象システムに対して実際に操作・通信を行いながら検査を進め、数日〜数週間を要するのが一般的です。
診断中はシステムへの負荷が発生する場合があるため、本番環境で実施する際は、業務への影響が少ない時間帯に設定することが推奨されます。事前にサービス事業者と実施タイミングを確認しておきましょう。
STEP3. レポートの確認と対策実施
診断が完了すると、発見された脆弱性をまとめたレポートが提出されます。レポートには脆弱性の種類・再現手順・リスクレベルが記載されており、リスクレベルの評価には「CVSS(共通脆弱性評価システム)」のスコアが用いられることが一般的です。
レポートを受け取ったら、危険度の高い脆弱性から優先的に対策を実施することが重要です。対策後に再診断(修正確認)を実施してくれるサービスもあるため、事前に確認しておくと安心です。脆弱性診断はあくまでスタートラインであり、発見した課題を確実に解消していくサイクルを回すことが、セキュリティ強化の本質です。
脆弱性診断は外注すべき?社内実施と比較
脆弱性診断を導入する際、「専門会社に外注するか、社内で実施するか」という判断に悩む担当者は少なくありません。それぞれのメリット・デメリットを整理します。
社内実施の場合
社内に情報セキュリティの専門人材がいる場合、自社でオープンソースのツールを活用して診断を実施することも可能です。コストを抑えられるほか、自社システムへの理解が深いエンジニアが診断を行えるため、対象の特性に応じた確認ができるという利点もあります。
一方で、専任のセキュリティ人材がいない企業では、適切な診断ツールの選定・運用・結果の解釈に多大な工数が発生するリスクがあります。また、内部の担当者による診断は客観性に欠けやすく、固定観念による見落としが生じる場合もあるでしょう。
外注(専門会社への依頼)の場合
専門のセキュリティ企業に外注する最大のメリットは、最新の攻撃手法を熟知した専門エンジニアによる精度の高い診断を受けられる点です。第三者の客観的な視点で評価が行われるため、社内では見落としやすいリスクも検出されやすくなります。診断後の改善提案や再診断サポートがある企業も多く、セキュリティ対策を体系的に進めやすい環境が整います。
デメリットとしては、費用がかかること、および診断のためにシステム情報を外部と共有する必要があることが挙げられます。依頼先を選ぶ際は、実績・資格・情報管理体制をしっかり確認することが大切です。
脆弱性診断に関連するガイドライン・法規制
脆弱性診断の実施は、企業独自の判断だけでなく、法的・業界的な観点からも強く推奨されています。
個人情報保護法・改正への対応
個人情報保護法では、個人情報取扱事業者に対して「安全管理措置」を講じることが義務づけられています。これには、個人データへの不正アクセスを防止するための技術的・組織的対策が含まれており、脆弱性診断はその具体的な実施手段のひとつに位置づけられます。
2022年施行の改正個人情報保護法では、漏洩等の事案が発生した場合の個人情報保護委員会への報告義務が新たに設けられ、違反した事業者に対する罰則も強化されました。「万が一漏洩しても対応すればよい」という考えは通用しなくなっており、事前の脆弱性診断による予防的な対策が求められています。
経済産業省・IPAのガイドラインとの関係
経済産業省が策定した「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべきセキュリティ対策の重要事項として、自社や委託先のシステムに対するリスク管理が明記されています。また、IPAの「安全なウェブサイトの作り方」では、Webサイトの脆弱性対策として具体的な診断項目が示されており、実務の参考として広く活用されています。
業界標準の観点では、クレジットカード情報を取り扱う事業者に義務付けられているPCI DSSでは、定期的な脆弱性スキャンとペネトレーションテストの実施が要件として定められています。また、ISMS(ISO/IEC 27001)の認証取得においても、脆弱性管理は重要なコントロール項目のひとつです。このように、業種や取り扱うデータの性質によって準拠すべき基準が異なるため、自社に関連するガイドラインを把握したうえで診断を計画することが重要です。
脆弱性診断(セキュリティ診断)サービスの選び方
脆弱性診断サービスは診断する範囲、診断の深度、費用、アフターフォローなどを検査対象のシステム環境やシステムの特性を考慮して選ぶ必要があります。次章では各項目についてサービスを選ぶ際に注意するポイントをまとめました。
診断する範囲で選ぶ
診断対象のサービス・ツールによって診断できる範囲は異なります。例えばWebアプリケーションを診断する場合、クロスサイトスクリプティング対策としてのコンテンツの生成方法やインジェクション対策としての入力方法の確認です。また、アクセス制御・セッションの管理方法・コンテンツ公開設定など多岐に渡ります。
「何の脆弱性を調べたいのか」「診断項目は足りているか」など脆弱性診断の目的を定めておき、診断範囲を確認しておきましょう。
診断の深度で選ぶ
脆弱性診断サービスを利用する上では診断内容の深度もチェックするポイントとなります。
ツール診断と手動診断では診断の深さが異なります。例えば手動診断であれば、専門のテスト実施者が対象システムの構造を確認した上で自身の経験からその対象にあった検査を実施することが可能です。
ツールでは診断が難しい権限に関する診断や仕様上の設計ミスなど、入念に調べたい箇所に対応してもらえるかなども事前に確認しておきましょう。クリアしなくてはいけない項目や初めての診断のためしっかり行いたいなど希望がある場合は、事前に伝えた上でサービスを選ぶ必要があります。
診断費用で選ぶ
同じ項目の診断を依頼する場合でもサービスによって費用が異なる場合があります。中には無料で使用できるツールもあります。
脆弱性診断は無料で行えるものから数十万〜数百万円かかるものなど様々です。1度利用契約をすると年数回の検査を行えるプランなどもあります。どれくらいの頻度でどのような内容の検査を行いたいのかを明確にし、脆弱性診断を行っている数社の企業から見積もりを取り、社内の状況に合った脆弱性診断を選ぶようにしましょう。
診断後のアフターフォローで選ぶ
脆弱性診断が終わった後のアフターフォローも重要です。診断によって脆弱性が見つかったとしても、改善策を提示してもらえなければ開発側もどう対策してよいのかわかりません。
診断後に報告書を提出してもらえるか、脆弱性が見つかった場合は対策方法についても提案してもらえるかなど事前にチェックしておいたほうが良いでしょう。またサービスによっては改善後にもう一度診断(再診断)を実施してくれる会社もあります。脆弱性診断サービスによってアフターフォローの内容が異なるため、依頼前に確認しておくことが大事です。
脆弱性診断に関するよくある質問
脆弱性診断はどのくらいの頻度で実施すべきですか?
一般的には、少なくとも年1回以上の定期的な実施が推奨されています。ただし、システムの変更・機能追加・新サービスのリリース・クラウド環境の設定変更などが行われた場合は、都度実施することが望ましいです。
脆弱性診断の費用はどのくらいかかりますか?
脆弱性診断の費用は、診断の種類・範囲・手法によって大きく異なります。無料で利用できるオープンソースツールから、手動診断を含む専門サービスでは数十万〜数百万円まで、幅広い選択肢があります。
脆弱性診断が必要になるのはどんなケースですか?
脆弱性診断が特に推奨されるのは、次のようなケースです。
- 新規Webサービス・アプリをリリースする前
- 前回の診断から1年以上が経過している
- 個人情報やクレジットカード情報を取り扱うシステムを運営している
- クラウド環境に新たなサービスを構築・移行した
- ISMSやPCI DSSなどの認証取得・更新を予定している
- 取引先や顧客から、セキュリティ対策の実施証明を求められた
上記に当てはまる場合は、早めに診断の計画を立てることをおすすめします。
GMOサイバーセキュリティbyイエラエの脆弱性診断サービスを紹介
(引用:GMOサイバーセキュリティbyイエラエ)
「GMOサイバーセキュリティbyイエラエ」では脆弱性診断のサービスを幅広く提供しています。
- クラウド診断
クラウド診断はパブリッククラウドの設定不備や、クラウド上に構築されたアプリケーションの安全性について、セキュリティエンジニアが攻撃者目線で評価を行う診断サービスです。クラウドの設定ミスやセキュリティに問題がないか確認したい場合におすすめです。
- Webアプリケーション診断
Webアプリケーション診断では診断ツール、診断員の手動診断を組み合わせて網羅性のある診断をします。特殊な要件で実装された一般的には用いられない技術、例えば、リアルタイムチャットやゲームで用いられるWebSocketやMQTT、gRPC、クラウド系Firebase、GraphQL、Salesforceなどのプロトコルなどにも対応可能です。また、緊急対応が必要な危険度の高い脆弱性については発見から翌営業日以内に再現方法を記載した速報で報告しています。
- プラットフォーム診断(ネットワーク診断)
攻撃者の視点で実際に通信を行うブラックボックステスト方式の脆弱性診断サービスです。オンプレミスなインフラ環境に限らず、AWS、Azure、GCPなどのクラウドサービスを用いて構築されているインフラ環境にも対応可能となっています。リスクレベル高以上の脆弱性については、発見した翌営業日以内に速報でご報告しています。
まとめ
一般的に、脆弱性診断をすると7~8割に脆弱性が検出されるともいわれています。システムに脆弱性があると自社が攻撃されるだけなく、個人情報などの情報漏えいが起きてしまうとWebサービスを利用した顧客が被害にあうというリスクも考えられます。安心してシステムを運用するためにも、脆弱性診断と対策は必須であるといえるでしょう。
脆弱性診断を受けることで具体的な脆弱性を発見し、適切な対策を施すために予算に応じたサービス選びから始めてみてはいかがでしょうか。
文責:GMOインターネットグループ株式会社
