```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` デジタル人材の育成 ![](https://www.ipa.go.jp/common/img/digital-hr/digital-hr_mv_sp.png) ## 脆弱性診断内製化ガイド 最終更新日:2025年7月31日 ## 背景 近年、企業システムに対するサイバー攻撃は多様化・高度化しており、企業は日々新たな脅威への対応を迫られています。さらに、脆弱性の発見件数も年々増加傾向にあり、システムのリリース前後を問わず、潜在的な脆弱性をいかに早期に発見し適切に対策を講じるかが、事業継続や信頼性維持の観点からますます重要になっています。 一方で、脆弱性診断については多くの企業が外部ベンダーへ発注するケースが一般的ですが、脆弱性の増加やリリースサイクルの高速化により対応しきれないケースが増えつつあり、内製化への関心も高まっています。 こうした背景を踏まえ、当プロジェクトでは「脆弱性診断内製化ガイド」を作成しました。ガイドの作成にあたり、まず複数のツールを用いた技術検証で脆弱性診断の概要や概念、自動・手動診断の違いを整理し、それぞれの特性や有効性を明らかにしました。そのうえで、文献調査やアンケート、有識者・内製企業へのヒアリングを通じて、脆弱性診断内製化に必要な組織的要件を整理しています。 本ガイドでは、脆弱性診断の基本概念や外部発注と内製の違い、内製チームの構成と導入ステップ、関連組織との連携方法について体系的に整理し、脆弱性診断の内製化を検討する企業が自社のリソースに合わせて、どのように診断体制を構築・運用すればよいかを具体的にイメージできるような構成としています。本ガイドが、脆弱性診断内製化の検討に取り組む企業の一助となれば幸いです。 プロジェクトメンバー一同 ## 本書の構成 第1章 はじめに 脆弱性診断の重要性や内製化を取り巻く背景、本ガイドの目的と適用範囲を紹介します。 第2章 脆弱性診断について 脆弱性の基本概念、診断の種類や手法、セキュリティ全体における診断の位置付けを整理します。 第3章 外部発注と内製の違い 外部発注と内製それぞれの特徴・コスト構造・メリット・デメリットを比較し、検討材料を提示します。 第4章 内製化に必要な組織体制と人材 経営層の関与、診断チームの役割・構成、関係組織との連携体制について解説します。 第5章 内製化の進め方と継続的改善プロセス スモールスタートから全社展開までの段階的導入ステップと品質向上の取り組みを示します。 第6章 関係組織との連携とセキュリティ意識の醸成 システム開発時・運用時の診断プロセスにおける組織連携の在り方や、社内のセキュリティ意識向上施策を解説します。 第7章 人材確保・育成 脆弱性診断に必要な人材の採用戦略やスキル育成、モチベーション維持とキャリア設計など、人材面のアプローチを紹介します。 第8章 ツール選定におけるポイント 脆弱性診断ツールの概要や選定基準、活用上の留意点を紹介します。 第9章 謝辞 本ガイド作成にあたりご協力いただいた関係者への感謝を記載しています。 付録A 技術検証結果について ガイド作成時に行った技術検証の概要と検証結果を補足資料として掲載しています。 ## ダウンロード - [![](https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2025/tbl5kb000000ag23-img/tbl5kb000000ag9l.jpg) 脆弱性診断内製化ガイド(2025年7月時点)(PDF:6.1 MB) 別ウィンドウで開く](https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2025/tbl5kb000000ag23-att/tbl5kb000000ag9u.pdf) ## 更新履歴 - 「脆弱性診断内製化ガイド」を公開しました。