脆弱性診断（セキュリティ診断）の必要性と現状や課題

そもそも”脆弱性”とは何か？なぜ脆弱性診断が必要なのか？
脆弱性診断が注目される理由や現状、課題点など
セキュリティ対策をもっと身近に・・VAddyの開発チームの思い

そもそもWebアプリケーションの脆弱性って何？

脆弱性とは

Webアプリケーション（Webサイト）を開発・制作する過程で生まれるセキュリティ上の欠陥を指します。欠陥と言う以上、つまりはWebアプリケーションのバグです。攻撃者は、この「脆弱性」を狙って攻撃を仕掛けてきます。脆弱性診断は、この「脆弱性」について調査を行います。

とくに注意したい、主要な脆弱性

下記の5つは、実際に攻撃にあった脆弱性のうちの約87％を占めています*。

SQLインジェクション
関連リンク：SQLインジェクションとは？
XSS（クロスサイトスクリプティング）
関連リンク：クロスサイトスクリプティングとは？
リモートファイルインクルージョン
コマンドインジェクション
ディレクトリトラバーサル

*2017年1月にクラウド型WAF「Scutum」で観測された攻撃リクエストを元に算出

セキュリティ事故での被害は甚大

下記の表は、企業や金融機関のWebアプリケーションにおいて実際にあった被害の例です。これらはあくまでほんの一部の例であり、他にもさまざまな攻撃・被害パターンが報告され、メディアでも取り上げられています。

被害パターン	被害例
情報漏えい	ショッピングモールのメールマガジンサービスのサーバーへ、2017年5月から2018年1月の間、SQLインジェクション攻撃を用いた複数回にわたる不正アクセスがあり、メールアドレスとパスワードの組み合わせ約24万件、メールアドレスのみ約3万件が流出した。
なりすまし	2016年10月、ドラッグストアオンラインショップにて、第三者が別サイト等から入手したと思われる会員IDとパスワードを用いて（会員になりすまして）不正にログインし、一部アカウントにてポイントを不正に利用されていたことが判明した。
サイト改ざん	2016年6月、金融機関Webサイトにて、第三者からの不正アクセスにより、Webサイトの閲覧者を悪意あるサイトへ自動的に誘導するよう、Webサイトが改ざんされていたことが判明した。

上記に述べたケースの被害の大きさからもわかるように、万が一攻撃の対象になったり事故が起きてしまった場合、築き上げてきた企業としての"価値"や”信頼”をすべてを失うことになりかねないのです。

脆弱性診断の現状と課題

脆弱性診断の必要性

脆弱性は、Webアプリケーションの開発・運営を続けていく上で常につきまとう身近な問題です。前述した被害の深刻さからもおわかりいただけるように、Webアプリケーション開発には情報セキュリティ対策がとても重要です。

最近でも、脆弱性の対策もれの責任を問うひとつの判決事例が話題となりました。
2011年～2014年頃の事例で、脆弱性が原因で情報漏えい事件を起こしたECサイトの運営会社が、システム開発を依頼した開発会社を告訴した裁判がありました。判決は、運営会社側が勝訴し、開発会社は損害賠償金の支払いを命じられました。
参照：SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

このように、実際に事件が起きてしまうと、開発会社が大きな責任を負わされることになりかねません。事故の被害を被るのはサイト運営者だけではないのです。しかし、そこまで危機感を持って対策を行っている開発会社はまだまだ多くはありません。売り上げを増やすための改修などが優先され、セキュリティ対策は後回しにされがちなのです。

最近になってやっと、弊社のお客様からも「最近よく脆弱性診断が発注案件に含まれるようになった」との声を聞くようになってきました。徐々にですが、発注者側のセキュリティ意識が高まりつつあり、伴って、脆弱性診断などのセキュリティ対策が注目されてきているのです。

現状と課題

よくある誤解や認知のズレ

開発者の意図しないところで、「セキュリティは当然対策しているでしょ？」「脆弱性診断も含まれた開発案件だ」と考えている発注者は少なくありません。リリース直前に気づき、スケジュールや予算不足に悩まされることも・・・

専門性の壁

脆弱性診断特有の専門性の高さから、社内の開発者に対応を求めるには限界があります。専門機関への診断の依頼やセキュリティ診断専門のエンジニアの雇用などの対策が必要となりますが、開発からリリースまでのスケジュールが短い場合は、対策としては現実的ではありません。

費用と時間の課題

脆弱性診断の費用は一回あたり100万円を超えることは珍しくありません。案件によっては、予算不足で追加開発のたびに脆弱性診断の費用をかけることが難しいものもあります。また、リリース直前に深刻な脆弱性が見つかってしまい、修正のスケジュールでリリースに間に合わないなんていうケースも・・・

脆弱性診断ツール併用の提案

脆弱性診断におけるコスト問題の課題解決に

脆弱性診断ツールを利用することで、自身で開発したWebアプリケーションの脆弱性診断を自身の手元で行うことができるため、リリースに合わせたスケジュール調整が容易になります。
また、手動診断の費用と比べ大幅なコスト削減が可能となります。

クラウド型Web脆弱性診断ツールVAddyを導入した脆弱性検査の例

従来の脆弱性診断だと数日から数週間かかっていたのが、VAddy導入後は脆弱性診断のスピードが上がりセキュリティ対策済みのサービスを早くリリースできます

日々の検査と定期診断でセキュリティ対策を万全に

私たちがとくに勧めているのは、検査ツールと手動脆弱性診断の併用です。開発者自身が行う日々の脆弱性診断と、半年に一度程度の定期的な手動脆弱性診断で、効率よく、より効果的なセキュリティ対策を。

専門家の手による手動診断を追加した新プラン登場

脆弱性診断の専門企業である株式会社SHIFT SECURITY様ご協力のもと、VAddyプロフェッショナルプランに脆弱性対応サポートや手動診断をパッケージ化した上位プラン、VAddy Platinum / Platinum+ プランを提供

脆弱性診断のプロがサポート！VAddy Platinum / Platinum+ プランが登場！

VAddyをおすすめする理由

VAddyは開発現場の声から生まれた開発者のための脆弱性診断ツールです。
VAddyの脆弱性診断は手軽、高速、そして正確です。操作が簡単なので、セキュリティエンジニアでない開発者でも、自身で手軽に脆弱性診断を行うことができます。
脆弱性診断ツールの中には数時間～1日かかるものもありますが、VAddyは検査項目を絞ることで、平均検査時間12分という他のツールにはない高速検査を実現しています。
関連リンク：選ばれる理由