【発注者向け】システムを知らない会社がシステム開発会社にWebサイトの脆弱性チェックをかけさせる方法

最終更新日:2023/11/12   公開日:2023/07/30

弊社ではWebシステム開発時には、当然脆弱性等に十分配慮した開発を行っておりますが、更に納品直前には再度アプリケーションによるチェックも必ず行うようにしています。

その際、主に使っているツールの一つがowasp zapです。

• OWASP ZAP

owasp zapはプログラムの脆弱性診断ツールです。これを使って課題が無いか最終的にあぶり出し、更にセキュリティホール等がないか、しっかりチェックを行っています。あればそれを元にプログラムの修正をかけていきます（owasp zap事態がプログラムの脆弱性を修正してくれるわけではありません。あくまでも問題点をピックアップするだけです）。

owasp zapはプログラムの脆弱性チェックを行う上では割と良く知られた、基本的なチェックツールです。このアプリケーションは自分のPCから起動してサーバにあるWebサイトにチェックをかけに行きます（ので、サーバで動くツールではありません）。

なので、もし貴社が社内に情報システム部等が無く、システム開発会社に丸任せなのであれば、「最終的なプログラムのセキュリティチェックはどうやってますか？」「owasp zapって知ってますか？」と尋ねると良いでしょう。

それで自社のWebサイトのセキュリティチェックを高めてください。