プレイドでは、社内の脆弱性診断と外部の会社に依頼する脆弱性診断を組み合わせています。 普段のセキュリティレビューは社内で行いますが、定期的に外部の会社に依頼して脆弱性診断を行なっています。 これら2つの脆弱性診断は、競合するものではないため、2つを組み合わせて行うことがセキュリティをより高めることに繋がっています。 社内の脆弱性診断の流れ 実際に社内の脆弱性診断をどのような流れで行なっているかを見ていきます。 大きく分けて次のような流れで行なっています。 依頼 ヒアリング 脆弱性のチェック フィードバック 修正/レビュー 再チェック 社内では、この一覧の流れをセキュリティレビューと呼んでいます。 開発をしてるチームから依頼が来たら、ヒアリングシートをもとにヒアリングを行います。 ヒアリングでは、そのプロダクトのアーキテクチャ、脆弱性診断のスコープ、どういう問題が起きると一番困るかといった認