WebアプリケーションやWebサイトに存在する脆弱性(セキュリティ上の弱点)を特定し、それに対する適切な対策を講じるためのプロセスである。
一般的には、自動化ツールや手動による脆弱性診断を行い、脆弱性の種類や深刻度を評価して、開発者や管理者に報告することでセキュリティの向上を図る。
Web脆弱性診断の種類や特徴について
以下のような種類や特徴があり診断対象のサイト規模やコストなどと併せて利用する方式を検討する必要がある。
| 手法・種類 | 診断方法 | 特徴 |
|---|---|---|
| 手動 | 検査員がWebサイトにアクセスして診断を実施 |
|
| ツール | 検査員が操作する診断ソフトからWebサイト全体にアクセスして診断を実施 |
|
| ハイブリッド (手動+ツール) |
ツールを利用してWebサイト全体を診断し重要な箇所は手動で検査員が個別に診断を実施 |
|
診断項目はどのように決まる?
主に以下のような基準で診断する項目数などが決まる。(それぞれ基準の一例)
- 業界標準のガイドラインやフレームワーク
- OWASP TOP10
- SANS Top25
- NIST
- PCI DSS
- IPA
- 既知の攻撃手法
- CVE
- CWE
- 企業独自の診断基準
- 開発標準
- セキュリティポリシー
一般的には基準が多くなるほど脆弱性発見の可能性が増えセキュリティの向上に繋がるが、診断にかかる時間とコストも向上する。
発見される脆弱性とはどのようなものがある?
有名なものは以下の通りとなる。
- SQLインジェクション
- OSコマンドインジェクション
- ディレクトリ・トラバーサル
- セッション管理不備
- XSS(クロスサイト・スクリプティング)
- CSRF(クロスサイト・リクエスト・フォージェリ)
- HTTPヘッダ・インジェクション
- メールヘッダ・インジェクション
- クリックジャッキング
- バッファオーバーフロー
- アクセス制御や認可制御の欠落
各脆弱性の詳細はこちらのIPA資料を参照
定義上、上記に含まれている部分もあるが、以下の脆弱性の記事を投稿したことがあるので紹介も兼ねてリンクを貼っておく。
Web脆弱性診断でコストと安全性のバランスをとるには
一般的な診断サービスで安全性を確保するために手動で診断を実施するとサイト規模によるが最低でも60日程度かかると言われている。また、ツールを利用して高速化を図っても、多量の誤検知(所謂フォルスポジティブ)に悩まされ、結果品質低下やコスト増に繋がる事も多い。
そこで、AIとツールと専門家による手動診断を組み合わせる事で、最短10日で診断を終わらせつつ、低コスト、高品質を実現するWeb脆弱性診断サービスを紹介したい。
(宣伝です)Sphinx AIセキュリティ診断(宣伝です)
ハイブリッドにプラスして機械学習・AIを活用した手法により、膨大なテスト期間を30%程度に短縮、世界各国の検査標準に準拠したセキュリティ検査をスピーディに提供。
AIセキュリティ診断サービスの主な特徴
- 見積りから診断結果報告会までをスピーディに提供
- 国内外のあらゆるガイドラインを網羅
- 世界で認められている高品質と実績
- プラットフォーム(Webサーバー)診断が付属
- サイバーリスク保険が適用
※詳細はこちらのサービスサイトを参照
最後に
Web脆弱性診断を実施すれば安全なWebサイトが出来上がる訳ではない。企画、要件定義、設計、実装、試験、運用に至るまであらゆる工程で脆弱性が混入しないように、セキュアにプロジェクトを進めることが重要である。そのうえで、より安全なWebサイトとなるようリリース前の最終チェックに、リリース後の定期的なチェックに Sphinx AIセキュリティ診断 を利用してもらえれば幸いである。