脆弱性診断の方法

Webアプリケーションの脆弱性診断の解析手法は大きく以下の2つに分類されます。

動的解析(DAST):動いているWeb アプリケーションを外部から診断する手法
静的解析(SAST):ソースコードなどWeb アプリケーションの内部を診断する手法

メリット デメリット
動的解析
  • 実際に動いているアプリケーションに攻撃者視点で検査するため、検査精度が高い
  • ソースコード非開示で検査でき、どの開発言語・フレームワークであっても検査可能
  • テスターは対象のアプリケーションで利用されている技術を必ずしも理解している必要は無い
  • Web アプリケーションが動作していることが必要
  • 脆弱性が検出された場合、原因となる箇所を特定することが難しい場合も
静的解析
  • アプリケーションが動作する前から診断できるため、開発の初期段階から実施が可能
  • 誤検知が多い
  • 検出された脆弱性が現実の脅威となりうるかの検証が必要
  • ツールによっては開発言語の制約がある

※他に利用しているOSS の脆弱性を解析するコンポジション解析(SCA)と呼ばれる方法もあります。
※手動脆弱性診断は動的解析の手法を取ることが大半です。

いずれの診断手法にもメリット/ デメリットがあり、組み合わせて使うとより効果が高くなります。

また、Webアプリケーションの脆弱性診断には、大きく分けて「手動診断」と「ツール診断(自動診断)」の2種類の診断方法があります。
「手動診断」は文字通り人の手を使って行うもので、セキュリティ事業者や社内のセキュリティ部門に属する専門知識を持つ診断員が直接検査を行い、結果を報告します。
これに対して「自動診断(ツール診断)」は、商用/OSSを問わず何らかの自動検査ツールを利用して検査するものを指します。手動診断と違って、診断のプロ以外の方が自ら実施することが可能ですが、診断ツールによってその難易度は大きく変わります。

実際には、「手動診断」の中でツールを利用することもあります。また、「自動診断」でも人間による操作や判断を組み合わせることがあります。

ここでは、実際にアプリケーションへの通信を行って攻撃可否を診断するため検査制度も高い動的診断方法を前提としています。

手動脆弱性診断

手動脆弱性診断は一般的に、次のような手順で行われます。

  • 事前準備
    • 対象となるWebアプリケーションの調査
      構成を確認し、詳細な画面遷移図を作成
    • 診断範囲の検討
      画面遷移の数(リクエスト数)や、画面遷移の中で送信されるパラメータ数が多くなるとコストが上乗せされる
      予算や期間によって、重要な機能のみに絞って診断したり、サンプリングした対象について診断したり、さらにその結果に応じて範囲を拡大する等の対応も
    • 診断方法の検討
      対象アプリケーションの特性や、依頼者の希望により、基本の診断メニュー/診断項目をカスタマイズすることも
      診断項目は診断会社によって異なるが、SQLインジェクション、クロスサイトスクリプティング、コマンドインジェクションの他、認証周りやセッション関連の診断は通常含まれている
  • 診断
    • 専門家が実際に対象アプリケーションにアクセスし、攻撃者の視点に立って脆弱性の有無を検証
    • 診断員がネットワーク経由でアクセスすることが多いが、客先でオンサイトの診断を行うことも
    • 対象となる画面遷移数が多ければその分作業期間も数日~数ヶ月と長くなる場合が多い
  • レポート/フォロー
    • 診断実施後、数日から数週間程度で報告書が提出され、検出された脆弱性の内容や重要度、対策の説明などが提供される
    • 必要に応じて報告会を行う
    • 指摘箇所の改修後に再診断
    • 一定期間の問い合わせ対応
  • ●メリット
    • 検査精度の高さ
      (検査項目の網羅性や、人間が判断しないと認識しにくいタイプの脆弱性の発見など)
    • 診断後のフォローアップ
    • 柔軟性、カスタマイズ性
  • ●デメリット
    • 診断員のスキルによるばらつき
    • 高コスト(予算に応じて検査範囲を絞る必要性も)
    • 検査や報告までの所要時間の長さ
    • 外注の場合、早期に診断業者のスケジュールを確保する必要性
    • 社内で行う場合、診断員の確保育成コストが大きい

自動脆弱性診断(ツール診断)

ツールを利用したWebアプリケーション脆弱性診断です。ここでは、プログラマーをはじめ専門的なセキュリティ診断の知識を持たない方による実施を前提としています。

脆弱性診断ツール

自社内の開発部門等において、Webアプリケーションに脆弱性診断を行うための自動検査ツールです。後述のクラウド型Web脆弱性診断ツール「VAddy(バディ)」も、このカテゴリに属します。

※自社内で行う場合でも、セキュリティ部門のエンジニアなどが手動で行う診断は「手動診断」に分類されます。
 また、セキュリティ診断事業者が、診断サービスの中で脆弱性診断ツールを専門知識を活かしながら使用することもあります。

脆弱性診断ツールの利用イメージ

  • 事前準備
    • インストール(ソフトウェア型の場合)
    • プロキシ等のネットワーク設定
    • 診断対象、診断基準の設定
    • 要認証箇所に関する設定
    • 診断対象箇所のクロール(手動または自動での画面遷移記録)
  • 診断
  • レポート/フォロー
    • レポート出力/閲覧
    • 指摘箇所の確認(誤検知でないか等)
    • 指摘箇所の改修、再診断
  • ●メリット
    • 複数回利用すれば低コスト(クラウド型の場合はさらに低価格なサービスあり)
    • 自社都合のスケジュールでいつでも何度でも実施でき、所要時間も短い
    • コストを気にせず対象となるアプリケーションの全体を漏れなく診断しやすい
    • ツールによるが、セキュリティの深い知見があれば詳細なチューニングも可能
  • ●デメリット
    • 設定や操作に関する学習コストが高い
    • 脆弱性に関する専門知識がないと使いこなせないツールが多い
    • オートクロール機能があるツールでも、画面遷移のすべてを網羅できない場合がある
  • VAddyの特徴 ~選ばれる理由~
    • VAddyは、上記メリットを最大限に活かしつつ、デメリットを根本的に解決するために生まれたツールです。また、クラウド型サービスのため、ご利用にあたってインストールは不要。ブラウザだけでご利用いただけます。