Webアプリケーションセキュリティ診断
セキュリティリスクを徹底調査!Webアプリケーションのセキュリティ上の問題点を検出し診断・指摘
ベルウクリエイティブの「WEBアプリケーション脆弱性診断サービス」では、経験豊富なセキュリティエンジニアがお客様のWebアプリケーションの潜在的な脆弱性を詳細に検査・検出・わかりやすく報告します。
組織における情報資産とインターネットの関係がますます深まる一方で、Webアプリケーションの脆弱性(弱点)を狙った攻撃が増加しています。
脆弱性を放置したままWebサイトを公開していると
・データベースに格納された機密情報や個人情報が外部に流出
・サービスを不正に利用される
など企業価値が下がる重大な問題に発展する恐れがあります。
Webアプリケーションの脆弱性とは、お客様が作成したWebアプリケーションに内在するプログラム上のバグのことを指します。攻撃者はその脆弱性を突きさまざまな攻撃をしかけてきます。
Webアプリケーションは、お客様のニーズによって様々な機能が実装されており、脆弱性が発見される箇所は多種多様です。使用するプログラミング言語や、Webアプリケーションの内容もECサイトやゲームアプリ、SNS、バックオフィスなどで多岐にわたります。また、CMSを導入しているか否かといったことも考慮しなければなりません。
内容
一般的に、Webアプリケーションは、開発を担当する会社や個人によって作り方が異なるため、内在する脆弱性もさまざまです。そのため、市販の脆弱性診断ツールで診断を行っていても、脆弱性を見落としてしまう可能性があります。脆弱性をもれなく発見するためには、個々のWebアプリケーションの仕組みや特性を考慮したきめ細かな診断が必要です。
ベルウクリエイティブは、一般的なWebアプリケーションの脆弱性として知られる「SQLインジェクション」や「クロスサイトスクリプティング」などはもちろんのこと、弊社独自の技術を活用し、システム停止や情報漏えい、データ改ざん、不正アクセス、認証回避などにつながる脆弱性を徹底的に洗い出します。
脆弱性を放置することは、情報漏洩により自社が被害者になるだけでなく、他サイト攻撃のための踏み台にされ知らぬ間に加害者になる場合もあります。
診断詳細
◆個人情報や機密情報に対して適切なセキュリティ保護策が講じられているか診断
◆内在する情報セキュリティ上の問題(脆弱性:XSS、SQLインジェクション、CSRF、オープンリダイレクト、コマンドインジェクション、認証機能の不備、アプリケーションロジックなど)をネットワーク経由で診断
◆検査後は、セキュリティエンジニアによる報告会を実施。検査結果をお伝えし、今後の対応策をご提案させていただきます。
また、検出されたセキュリティ問題とその影響、改善提言についてレポーティングします。
PCI DSS、CIS、NISTなどのセキュリティ基準にも対応します。
【各種セキュリティ指標に対応】
クレジットカード業界のセキュリティ標準であるPCI DSSで参照されている「OWASP Top 10」に含まれる脆弱性を診断対象とするなど、各種セキュリティ指標にも対応しています。
※ OWASPは、Webアプリケーションのセキュリティ向上を目的とした米国の団体で、調査や開発の成果物を誰でも利用できるように公開しています。「OWASP Top Ten Project」では、Webアプリケーションの脆弱性トップ10を掲載。
診断メニューは、ツールベースの診断とツールとマニュアルによる診断の2種類です。また、診断用PCの発信元により、リモートとオンサイトの診断方法があります。
お客様は、Webアプリケーション診断の結果に基づいて対策を施すことにより、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害の発生を未然に防ぐことができます。一般的に、Webアプリケーション診断の手法として、(1)診断ツール、(2)専門家の手動、(3)両者の併用、の3つがあります。診断ツールは効率の面で優れている半面、脆弱性の見逃しや誤検出が発生する場合があるためベルウクリエイティブでは、診断ツールと手動を組み合わせたきめ細かな診断を実施しています。
Webアプリケーション診断対象
※下記は一例ですので、対象サイトについてはお気軽にご相談ください。
- 会員向けサイト
- ショッピングサイト
- アンケートサイト
- 予約システム
- オンラインバンキング
- ネットトレーディング
- 検索機能を有する各種情報提供サイト
- 社内向け業務管理サイト
- スマートフォン・モバイル向けサイト
- ブログ
- SNS
- イーラーニング
- Web API
市販のツールを用いた診断や、自社内での診断を実施されている場合でも、熟練した専門家の視点で診断を実施することをおすすめしています。
メリット
1.セキュリティエンジニアの的確な診断により、セキュリティ対策の期間とコストを最適化
2.個人情報漏洩やそれに伴う損害賠償等のリスクを軽減
3.独立した第三者による診断で、客観的に問題が指摘され、外部監査の報告としても有効
発見できるセキュリティリスク
- 他人になりすまして不正にシステムにログインすることが可能か
- 個人情報や機密情報などの重要データを取得可能か
- 管理者権限を取得することが可能か
- データベースに不正にアクセスすることが可能か
- アクセス制御されているリソースに不正にアクセスすることが可能か etc
主なスキャン項目
- クロスサイトスクリプティング診断
- SQLインジェクション診断
- セカンドオーダーアタック
- 強制ブラウジング
- エラーコード
- セキュア属性のないCookie
- セッション管理に関する問題
- アクセス制御機構の不備
- 機能の悪用等
- サービス妨害
- 認証関係の不備
- アプリケーションロジックの不備
オプション
- IPv6
- サービス停止攻撃
- ブルートフォース(認証の耐性)
サービスフロー