プレスリリース
2023年7月24日
さくらインターネットグループのアイティーエム株式会社(本社:東京都新宿区、代表取締役社長:河本 剛志、以下、アイティーエム)は、Managed Cloud & Security Service Provider(MCSSP)事業の一環として、アプリケーション・セキュリティ対策(開発者のためのセキュリティ対策/Security for Developers)に取り組んでおり、その第一弾として「SPA診断とWebペネトレーションテスト」を2023年7月24日に提供開始します。
ゼロ・トラストに加えあらゆるものがソフトウェア化/DX化に向かう昨今、様々な"もの"や"こと"がソフトウェア化しており、その代表であるWebアプリケーションは多くのビジネス価値を生み出す存在となっております。(Software is eating the world. Marc Andreessen in 2011. https://a16z.com/2011/08/20/why-software-is-eating-the-world/)
しかし、このように事業者/開発者に取って価値あるものは、攻撃者にとっても同様であるとGoogle社は"State of API Economy 2021 Report"で述べており、新しいテクノロジーを有するWebアプリケーションのセキュリティ対策は開発者にとって益々頭痛の種となっております。(OWASP Top10も2021年に大幅に見直し、https://owasp.org/Top10/ja/)
そこで、当社はこのようなソフトウェア開発者の問題を解決すべくアプリケーション・セキュリティ対策の強化に取り組んでおり、今回SPA診断とWebペネトレーションテストを提供するに至りました。
OWASP Testing Guideをベースにした診断項目に加えSPA固有のテクニカルリスクを、高度なハッキングスキルを有するペネトレーションテスターがフロントエンド(JavaScript/Framework)とバックエンド(API)の両方を診断します。
SPA固有のリスクポイント
いまや企業におけるセキュリティ対策は、必須の取組みとなっており、多くの企業が多層防御によるセキュリティ対策を実施しています。しかし、サイバーセキュリティは防御側より攻撃側が有利であり、最近の攻撃は明確な目的を持って、組織的に戦略的にかつ計画的な攻撃の傾向があると多くの専門家が指摘をしております。
このような状況化でセキュリティ診断は、従来のリスクの可視化(脆弱性診断)から、より実戦的な攻撃手法を用いどのような脅威が潜んでいるのかを調査する方法が注目されはじめております。
特に重要な機密情報を保有するシステムにおいては、より高度化するセキュリティ脅威に対し、より実戦的なセキュリティ対策の強化が求められはじめています。
一般的なペネトレーションテストは、ネットワークペネトレーションですが、ITMが提供するのは、Webアプリケーションをターゲットとしたペネトレーションテストとなり、Webアプリケーション診断では非対応となるWebSocket, RTSPのような非httpプロトコルにも対応していることが特徴です。
ペネトレーションテストの有用性は、NIST SP800-115でも以下のように示されています。
本リリースに記載されたすべてのブランドや製品は各社の商標または登録商標です。記載の商品名、価格および担当部署、担当者、WebサイトのURLなどは、本リリース発表時点のものです。