WEBアプリケーション診断とは
WEBアプリケーション診断とは、攻撃者目線での擬似攻撃を行い、WEBアプリケーションに潜んでいる脆弱性を調査するものです。システムの脆弱性を徹底的に洗い出します。
こちらでは、WEBアプリケーション診断について、診断対象や診断項目、診断手法などについて紹介しています。WEBアプリケーション診断に興味がある人は、ぜひ参考にしてみてください。
診断対象
Java、PHP、Perl、Rubyなどで開発されたWEBアプリケーションとWEBアプリケーションが動作するApache、Tomcat、IIS、Web Logic等のWEBサーバ
診断項目
| 入出力処理に関する調査 | クロスサイトスクリプティング
HTMLタグインジェクション
SQLインジェクション
コマンドインジェクション
パスマニピュレーション
など |
|---|
| 認証に関する調査 | ログインフォームに関する調査
ログイン情報の送受信に関する調査
認証回避に関する調査
パスワードの強度に関する調査
復元可能なパスワード保存
など |
|---|
| 認可に関する調査 | 認可制御の不備(権限昇格)
認可制御の不備
など |
|---|
| セッション管理に関する調査 | Cookieに関する調査
セッションIDに関する調査
セッションハイジャック
セッションフィクセーション
クロスサイトリクエストフォージェリ
など |
|---|
| 一般的な脆弱性に関する調査 | 既知の脆弱性が存在するソフトウェア
不用意な情報公開
など |
|---|
各社によって、診断項目はさまざまです。
基本的な診断項目について
もっと詳しく見てみる
診断手法
ツール診断
ツールによる自動脆弱性診断は、実施段階によって、リリース前診断用ツールとリリース後診断用ツールの2つに分けられます。
リリース前診断用ツールに分類されるものにはさまざまな提供形態があり、外部に診断を依頼するよりも低価格で利用することができます。
リリース後診断用ツールは、すでに公開されているアプリケーションに対して定期的に検査リクエストを送信し、継続的な開発が行われていないWEBサイト/WEBサービスの脆弱性がないことを確認するために使用されます。
手動診断
手動診断とは、サイバーセキュリティの専門知識を持つセキュリティエンジニアが、対象のWEBアプリケーションを自ら検査することをいいます。ツールを用いる際にもツールに頼りすぎず、セキュリティエンジニアの知見を駆使して検査を行います。
診断の流れ
- 注文後、担当アナリストの説明と打ち合わせ
- 機密保持契約書を締結
- セキュリティ診断のサービスを実施
- 診断完了後、報告書を提出
- 再診断
各社によって、診断の流れはさまざまですが、注文後、担当アナリストの説明と打ち合わせでは、診断方法や診断対象画面の選定について内容・実施日などを調整します。そして機密保持契約書を締結し、セキュリティ診断のサービスを実施。診断が終われば結果をとりまとめ、報告書を提出するだけでなく、報告会にて詳しく説明を行います。
診断レポート
診断報告書は詳細レポートとして、5段階の評価ランクを含む、経営層向けのエグゼクティブサマリーと技術者に向けて、確認された脆弱性・対策などを記載。改善すべき事項を詳しく明確に説明します。また、再現例と発見箇所についても詳しく報告し、開発者が改修しやすい対策案として、「根本的対策・保険的対策」の2つの対策を提示します。
本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を2社、状況・課題別に紹介しています。
専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。
[状況・課題別]
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる
