セキュリティ診断
Webアプリケーション診断
Webアプリケーション診断は、攻撃者の視点から様々な疑似攻撃を考察・試行することで、Webアプリケーションの安全性を徹底的に調査します。
動画を配信中
Webアプリケーション診断を中心に、サービスの特長、診断に求められる5つの要素などについてご紹介しております。
セキュリティ診断サービスのご紹介を動画で配信中
Webアプリケーション診断の概要
Webアプリケーション診断は、攻撃者の視点から様々な疑似攻撃を考察・試行することで、Webアプリケーションの安全性を徹底的に調査します。お客様は、Webアプリケーション診断の結果に基づいて対策を施すことにより、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害の発生を未然に防ぐことができます。一般的に、Webアプリケーション診断の手法として、(1)診断ツール、(2)専門家の手動、(3)両者の併用、の3つがあります。いずれの手法も、診断対象となるWebアプリケーションに対し、「シグネチャ」と呼ばれる特別な文字列を送ったり、処理を実行し、その応答結果や動作から脆弱性の有無を判断します。診断ツールは効率の面で優れている半面、脆弱性の見逃しや誤検出が発生する場合があるため、ラックでは、(2)の診断を中心としつつ、お客様のご要望に応じて、独自に開発した診断ツールと手動を組み合わせた(3)の診断も実施しています。
Webアプリケーション診断の対象となるのは、主に以下のようなサイトです。
- ショッピングサイト
- 会員制サイト
- 検索機能を有する各種情報提供サイト
- 社内向け業務管理サイト
- お申し込み・アンケート受付サイト
- スマートフォン・モバイル向けサイト
- SOAPを使ったWebサービス
※上記は一例ですので、対象サイトについてはお気軽にご相談ください。
約85%のサイト(※)に問題点が存在
webアプリケーションのセキュリティが求められる理由
(※弊社基準による)近年、Webアプリケーションの脆弱性(弱点)を狙った攻撃が増加しています。脆弱性を放置したままWebサイトを公開していると、データベースに格納さ れた機密情報や個人情報が外部に流出したり、サービスを不正に利用されるなど、企業の継続に関わる重大な問題に発展する可能性があります。過去に弊社が診断したサイトでは、およそ85%のサイトに何らかの脆弱性があるという結果が出ています。一般的に、Webアプリケーションは、開発を担当する会社や個人 によって作り方が異なるため、内在する脆弱性も様々です。そのため、市販の脆弱性診断ツールで診断を行っていても、脆弱性を見落としてしまう可能性があります。脆弱性をもれなく発見するためには、個々のWebアプリケーションの仕組みや特性を考慮したきめ細かな診断が必要となります。
そのため弊社では、市販のツールを用いた診断や、自社内での診断を実施されている場合でも、経験豊富な専門家の視点で診断を実施することをおすすめしています。
Webアプリケーション診断の特長
お客様のWebアプリケーションに存在するセキュリティリスクを徹底調査
ラックの熟練したセキュリティ専門家が、サイト攻撃者の立場で様々な観点から攻撃手法を考察・試行します。お客様のWebアプリケーションの仕様や特性等も加味しながら、多様な手法で診断を実施することで、次のようなセキュリティリスクを発見することができます。
- 他人になりすまして不正にシステムにログインすることが可能か
- 個人情報や機密情報などの重要データを取得可能か
- 管理者権限を取得することが可能か
- データベースに不正にアクセスすることが可能か
- アクセス制御されているリソースに不正にアクセスすることが可能か
最新の攻撃手法を診断パターンに反映
24時間365日リアルタイムでセキュリティ監視を行う「JSOC」、最新の脅威や動向を研究する機関である「サイバー・グリッド研究所」、セキュリティ事故の緊急対応を行う「サイバー救急センター」から得た最新の攻撃手法や脆弱性情報を反映し、診断を実施します。
実績
ラック は1995年にセキュリティ事業を開始し、セキュリティ診断サービスについては約8,300団体※の豊富な導入実績があります。蓄積された過去の膨大な診断結果は統計データ化しており、お客様の診断結果を評価・分析する際に活用しています。
※2018年4月時点
診断の効率化を追求
お客様のWebアプリケーションは、ひとつとして同じものはありません。セキュリティ診断の品質を高めるためには、そうしたお客様固有の仕様や特性等も加味しながら柔軟に対応する必要があり、その結果多くの時間を要することもあります。弊社では長年の診断経験を生かして独自の診断ツールを開発するなど、診断 業務の効率化にも注力して参りました。診断の品質を下げることなく、結果をいち早くお客様にお届けできるように日々改善しています。
各種セキュリティ指標に対応
クレジットカード業界のセキュリティ標準であるPCI-DSSで参照されている「OWASP Top 10」や、情報処理推進機構の「セキュリティ実装チェックリスト」に含まれる脆弱性を診断対象とするなど、各種セキュリティ指標にも対応しています。
- ※OWASPは、Webアプリケーションのセキュリティ向上を目的とした米国の団体で、調査や開発の成果物を誰でも利用できるように公開しています。「OWASP Top Ten Project」では、Webアプリケーションの脆弱性トップ10を掲載しています。
サービス内容
診断項目は以下の通りです。経験豊富な専門家が、お客様のWebアプリケーションに合わせて診断を実施いたします。
| クロスサイトスクリプティング診断 | 不正なスクリプト文字列やHTMLタグなどを送信した際、入力文字が適切に処理されているかチェックします |
|---|---|
| SQLインジェクション診断 | Webアプリケーションを通じて、データベースから情報を抜き出せないかチェックします |
| セッション管理診断 | 権限が適切に管理されているかチェックします |
| 認証診断 | 認証機能に不備がないかチェックします |
| ファイル拡張子診断 | 不正なファイル操作が行われないかチェックします |
| OSコマンドインジェクション診断 | 不正なコマンドを実行できないかチェックします |
| ディレクトリトラバーサル診断 | ディレクトリをさかのぼり、本来閲覧不可能なファイルにアクセスできないかチェックします |
| 権限昇格診断 | ユーザ権限から管理者権限などへの不正な昇格が可能かチェックします |
| パラメータ書き換え診断 | 任意のパラメータなどを追加し、問題が発生しないかチェックします |
| Webアプリケーション固有の問題についての診断 | その他、システム障害や利用者に影響のある問題がないかチェックします |
セキュリティ診断の流れ
診断結果報告書イメージ
診断報告書には、診断結果の総評、評価ランク(5段階)をはじめ、診断結果の詳細・発見された脆弱性およびその確認方法・セキュリティリスクレベル(緊急度)・推奨する対策などを記載し、お客様が改善実施すべき事項を明確にご提示いたします。 また、業種別の統計情報も掲載しますので、同業他社に比べて自社がどの程度のレベルなのかということなども知ることができます。
いま注目されているサービス
パフォーマンスデータを定量的に管理(APM)し、素晴らしいカスタマーエクスペリエンスを実現
サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート
「ID管理」にフォーカスしたEMS(Enterprise Mobility + Security)というハイセキュアな新サービスを提供
