Webアプリケーション診断

サーバ上で稼働させるWebアプリケーション(Webサイト上で稼働するプログラム)を対象として行う脆弱性診断です。
攻撃者の視点に立ち、手動またはツールを使って、Webアプリケーションに潜む SQLインジェクション、クロスサイトスクリプティング、コマンドインジェクションをはじめとする脆弱性を見つけ、解析、報告します。後述の脆弱性診断ツール「VAddy(バディ)」もこのWebアプリケーション脆弱性診断の一種です。

≫ 脆弱性診断(Webアプリケーション診断)の方法
※Webアプリケーションの脆弱性に関しては、IPAをはじめ様々な専門機関から情報やガイドラインが公開されています。
≫ IPA「安全なウェブサイトの作り方」https://www.ipa.go.jp/security/vuln/websecurity.html
≫ OWASP TOP 10

プラットフォーム診断

サーバ(Webサーバ/メールサーバ/DNSサーバ等)やネットワークを対象とするものです。主に、OS/ミドルウェア等の既知の脆弱性への対応や、ネットワーク機器の状態、稼働している各サービス/ポート等の安全性について検査します。
外部からインターネット越しに診断を行ってFW等を含めたシステム全体の状況を確認する場合(リモート診断)と、ネットワーク内から診断を行って個々のシステムの問題点をチェックする場合(オンサイト診断)、およびその両方を行う場合があります。

※Webアプリケーションについても、CMSやOSSなど既知の脆弱性が管理されているものは、プラットフォーム診断でバージョン等の確認を行うことが一般的です。

ネイティブアプリ診断

主にAndroidやiOS用のスマートフォン/タブレット専用「アプリ」の脆弱性について行う診断です。
近年のネイティブアプリは、Webサービスの中でサーバ間と頻繁に通信を行うものが中心となっており、サーバとの通信に関する診断がより重要となっていますが、機器内に残るデータの管理や、逆コンパイルによる悪用の危険性など、モバイルアプリ特有の問題の検査も行われています。

Webアプリケーション診断

  • 独自アプリケーション
  • CMS等(一般のアプリケーションとして検査)

ネイティブアプリ診断

  • iOSアプリ
  • Androidアプリ

プラットフォーム診断

  • CMS等(既知の脆弱性管理)
  • ミドルウェア
  • サーバOS
  • ネットワーク

注目されるWebアプリケーションの脆弱性診断

上記のうち、Webアプリケーションの脆弱性は次のような理由から注目されており、脆弱性診断などの対策を行う企業が急増しています。

  • ●攻撃者の視点から
    • 攻撃を仕掛けられる箇所や手法の選択肢が多いこと
    • 従来からある個人情報などの経済的価値の高い情報の詐取はもちろんのこと、Webサイトの改ざんを目的とした攻撃が攻撃も多発していること
  • ●システムの特性から
    • 低レイヤーの通信と比べて、システムが正常通信と攻撃を見分けにくいこと
    • OSやミドルウェア、通信機器等の低レイヤーでは、ベンダーからの情報をはじめ対策や防御方法が明確なことが多いのに対して、多くのWebアプリケーションはサイトごとに構成も機能も全く異なるため、個別の対応が必要となること
    • 開発スケジュールとの戦いの中でセキュリティ対策が後回しとなった結果、脆弱性が放置されたままの既存Webアプリケーションが多数公開されていること
  • ●最近の傾向として
    • Webサイト/Webアプリケーションの運用歴が長くなるにつれ、過去に開発された機能のレビューが難しくなっていること
    • 短期間に頻繁にアップデートが行われるWebサービスが多く、セキュリティ面の対応が追い付かないケースが多いこと
    • セキュリティ意識の高まりから、利用するWebサービスにおけるセキュリティ対策実施状況を確認・調査する企業が増えていること