一覧

企業のホームページ

アタックサーフェス(攻撃対象領域)

テクニカルリスク

攻撃者は、公開されている企業のホームページの脆弱性を探索し、その脆弱性を突いて、サイトの改ざん、システムへの不正侵入、機密情報の流出、または内部システムへの侵入の足場に利用され、2次攻撃につながるリスクが考えられます。

テストケース

Webアプリケーションは、実装されている機能や技術によって最適な診断方法があります。以下のその一例です。

ケース 診断や対策例
静的ページのサイト プラットフォームとWebアプリケーションのツール診断
ツール診断の診断項目に
不足がある場合
プラットフォームはツール診断とし、Webアプリケーションは、静的ページに適した手動診断
動的ページのサイト プラットフォームはツール診断とし、Webアプリケーションは、OWASP Top10または
OWASP Web Testing Guideに準じた手動診断
両方(静的/動的)のページから
構成されるサイト
上記内容を組み合わせたハイブリット診断

ECサイト

アタックサーフェス(攻撃対象領域)

テクニカルリスク

攻撃者は、公開されているECサイトの脆弱性を突いて、不正行為、不正侵入、機密情報の流出、または内部システムへの侵入の足場に利用されるリスクが考えられます。最近では、SPAやPWAなどのモダンなWebアプリケーションではクライアントサイドのリスクも指摘されています。

テストケース

ECサイトでは、企業のホームページと異なり、個人情報や決済情報などのリスク情報を保有しているケースがあり、より詳細な診断が必要と考えます。

ケース 診断や対策例
ベストケース プラットフォームはツール診断とし、Webアプリケーションは、OWASP Web Testing Guideに準じた手動診断
追加の防御 WAF(Webアプリケーションファイアウォール)による保護
モバイルアプリ モバイルアプリはツールもしくは手動での診断、
モバイルアプリの攻撃に対する防御としてアプリケーション保護の導入も必要になるケースもあります。

【参考】OWASP Top 10 - 2017 - 最も重大なウェブアプリケーションリスクトップ10 -
【参考】OWASP Web Testing Guide

ポータル/メディア系

アタックサーフェス(攻撃対象領域)

テクニカルリスク

攻撃者は、公開されているメディア/ポータルサイトの脆弱性を突いて、不正行為、不正侵入、機密情報の流出、または内部システムへの侵入の足場に利用されるリスクが考えられます。
最近では、SPAやPWAなどのモダンなWebアプリケーションでは、クライアントサイドのリスクも指摘されています。

テストケース

メディア/ポータルサイトでは、他のサイトと比較するとページ数が非常い膨大となるため、アッタクサーフェスを分析し、適切な診断項目の選択と、ツールと手動の組み合わせによるコスト最適化のアプローチも可能と考えます。

ケース 診断や対策例
認証系や個人情報を
取り扱うページ
プラットフォームはツール診断とし、Webアプリケーションは、OWASP Top10または
OWASP Web Testing Guideに準じた手動診断
サイト全体 上記内容を組み合わせたハイブリット診断
モバイルアプリ モバイルアプリのツールもしくは手動での診断。アプリに課金機能がある場合はアプリの改ざん防止。

一般的なWebアプリケーション

アタックサーフェス(攻撃対象領域)

テクニカルリスク

攻撃者は一般的なWebアプリケーションの脆弱性を突いて不正行為、不正侵入、機密情報の流出、または内部システムへの侵入の足場などに利用します。最近ではSPAやPWAなどのモダンなWebアプリケーションでクライアントサイドのリスクも指摘されています。

テストケース

Webアプリケーションでは他のサイトを比較すると機能が豊富で画面遷移が複雑なためアッタクサーフェスを分析し、適切な診断項目の選択とツールと手動の組み合わせによるコスト最適化のアプローチも可能と考えます。

ケース 診断や対策例
認証系や個人情報を
取り扱うページ
プラットフォームはツール診断とし、Webアプリケーションは、OWASP Top10または
OWASP Web Testing Guideに準じた手動診断
サイト全体 上記内容を組み合わせたハイブリット診断
クライアント診断 クライアントサイド診断

SPAやPWAなどモダンなWebアプリケーション

アタックサーフェス(攻撃対象領域)

テクニカルリスク

攻撃者はSPA/PWAも一般的なWebアプリケーションと同様に脆弱性を突いて、不正行為、不正侵入、機密情報の流出、または内部システムへの侵入の足場に利用されるリスクが考えられます。クライアントサイドはモバイルネイティブアプリより攻撃箇所が少ないとの指摘がありますが、それでもテクニカリスクは存在します。

テストケース

SPA/PWAのWebアプリケーションではサーバサイドのWebAPIとクライアントサイドの詳細な診断が必要と考えます。

ケース 診断や対策例
ベストケース プラットフォームはツール診断とし、WebアプリケーションはOWASP Web Testing Guideに準じた手動診断。
OWASP Web Testing Guideにはクライアントサイドの診断項目も含んでおり非常に網羅性があります。

WebAPI

アタックサーフェス(攻撃対象領域)

テクニカルリスク

現在のモダンなWebアプリケーションの多くのWebAPIを通じて、より便利なアプリケーションを実現しています。攻撃者はWebAPIの重要性を理解し非セキュアなWebAPIに対し攻撃を行いDoS、不正行為、機密情報の流出などをもたらします。アッタクサーフェスとしてはプラットフォーム、WebAPIが考えられます。

テストケース

Restful APIやOpenAPIの仕様に基づきテストデータを持ちてWebAPIにアクセスしWebAPIの脆弱性を診断します。全てのWebAPIがエンドポイントとなるため基本的には全てWebAPIを対象することが多いです。

ケース 診断や対策例
ベストケース プラットフォームはツール診断とし、WebAPIは、OWASP Web Testing Guideに準じた手動診断。
WebAPI固有の診断要素もありますが、OWASP Web Testing Guideには、サーバサイドの多くの診断項目も含んでおり、
非常に網羅性があります。
追加の防御 WAFによる保護。最新のWAFにはWebAPIの仕様に応じたProfilingが可能なものもあり、より強固な防御が可能。

オンプレミスの社内インフラ(ネットワーク、サーバ、ストレージ)

アタックサーフェス(攻撃対象領域)

テクニカルリスク

外部と内部の脆弱性を利用した攻撃が想定されます。外部診断のみを実施するケースもありますが重要なシステムにおいては侵入されたことを想定した取組み(フェイルセーフ)が被害の最小化につながります。PCIDSSでは外部だけでなく内部診断も必須としています。

テストケース

外部と内部からプラットフォームの脆弱性診断を実施し既存の脆弱性を把握します。

ケース 診断や対策例
テストケース 外部からアクセス可能なエンドポイントには外部プラットフォーム診断。
内部ネットワークからの攻撃をも想定し、全てのサーバやネットワーク機器に対しては内部プラットフォーム診断。
見つかった脆弱性のうち高い危険度(CVSS 7.0以上)を示すのものは最優先で対策を実施することで
リスクの緩和(Mitigation)を図ることができる。

対象サービス

セキュリティ診断・脆弱性診断サービス

SiteScanシリーズ

お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0WebSiteScanWebSiteScanProの3つのシリーズよりお選びいただけます。

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30