ユースケース(セキュリティ診断・脆弱性診断サービス)
当社で提供する脆弱性診断サービスの具体例の一部です。
様々なWebサイト、Webアプリケーションのタイプやシステム構成に分けて考え実施します。
当社で提供する脆弱性診断サービスの具体例の一部です。
様々なWebサイト、Webアプリケーションのタイプやシステム構成に分けて考え実施します。
攻撃者は、公開されている企業のホームページの脆弱性を探索し、その脆弱性を突いて、サイトの改ざん、システムへの不正侵入、機密情報の流出、または内部システムへの侵入の足場に利用され、2次攻撃につながるリスクが考えられます。
Webアプリケーションは、実装されている機能や技術によって最適な診断方法があります。以下のその一例です。
| ケース | 診断や対策例 |
|---|---|
| 静的ページのサイト | プラットフォームとWebアプリケーションのツール診断 |
| ツール診断の診断項目に 不足がある場合 |
プラットフォームはツール診断とし、Webアプリケーションは、静的ページに適した手動診断 |
| 動的ページのサイト | プラットフォームはツール診断とし、Webアプリケーションは、OWASP Top10または OWASP Web Testing Guideに準じた手動診断 |
| 両方(静的/動的)のページから 構成されるサイト |
上記内容を組み合わせたハイブリット診断 |
攻撃者は、公開されているECサイトの脆弱性を突いて、不正行為、不正侵入、機密情報の流出、または内部システムへの侵入の足場に利用されるリスクが考えられます。最近では、SPAやPWAなどのモダンなWebアプリケーションではクライアントサイドのリスクも指摘されています。
ECサイトでは、企業のホームページと異なり、個人情報や決済情報などのリスク情報を保有しているケースがあり、より詳細な診断が必要と考えます。
| ケース | 診断や対策例 |
|---|---|
| ベストケース | プラットフォームはツール診断とし、Webアプリケーションは、OWASP Web Testing Guideに準じた手動診断 |
| 追加の防御 | WAF(Webアプリケーションファイアウォール)による保護 |
| モバイルアプリ |
モバイルアプリはツールもしくは手動での診断、 モバイルアプリの攻撃に対する防御としてアプリケーション保護の導入も必要になるケースもあります。 |
【参考】OWASP Top 10 - 2017 - 最も重大なウェブアプリケーションリスクトップ10 -
【参考】OWASP Web Testing Guide
攻撃者は、公開されているメディア/ポータルサイトの脆弱性を突いて、不正行為、不正侵入、機密情報の流出、または内部システムへの侵入の足場に利用されるリスクが考えられます。
最近では、SPAやPWAなどのモダンなWebアプリケーションでは、クライアントサイドのリスクも指摘されています。
メディア/ポータルサイトでは、他のサイトと比較するとページ数が非常い膨大となるため、アッタクサーフェスを分析し、適切な診断項目の選択と、ツールと手動の組み合わせによるコスト最適化のアプローチも可能と考えます。
| ケース | 診断や対策例 |
|---|---|
| 認証系や個人情報を 取り扱うページ |
プラットフォームはツール診断とし、Webアプリケーションは、OWASP Top10または OWASP Web Testing Guideに準じた手動診断 |
| サイト全体 | 上記内容を組み合わせたハイブリット診断 |
| モバイルアプリ | モバイルアプリのツールもしくは手動での診断。アプリに課金機能がある場合はアプリの改ざん防止。 |
攻撃者は一般的なWebアプリケーションの脆弱性を突いて不正行為、不正侵入、機密情報の流出、または内部システムへの侵入の足場などに利用します。最近ではSPAやPWAなどのモダンなWebアプリケーションでクライアントサイドのリスクも指摘されています。
Webアプリケーションでは他のサイトを比較すると機能が豊富で画面遷移が複雑なためアッタクサーフェスを分析し、適切な診断項目の選択とツールと手動の組み合わせによるコスト最適化のアプローチも可能と考えます。
| ケース | 診断や対策例 |
|---|---|
| 認証系や個人情報を 取り扱うページ |
プラットフォームはツール診断とし、Webアプリケーションは、OWASP Top10または OWASP Web Testing Guideに準じた手動診断 |
| サイト全体 | 上記内容を組み合わせたハイブリット診断 |
| クライアント診断 | クライアントサイド診断 |
攻撃者はSPA/PWAも一般的なWebアプリケーションと同様に脆弱性を突いて、不正行為、不正侵入、機密情報の流出、または内部システムへの侵入の足場に利用されるリスクが考えられます。クライアントサイドはモバイルネイティブアプリより攻撃箇所が少ないとの指摘がありますが、それでもテクニカリスクは存在します。
SPA/PWAのWebアプリケーションではサーバサイドのWebAPIとクライアントサイドの詳細な診断が必要と考えます。
| ケース | 診断や対策例 |
|---|---|
| ベストケース | プラットフォームはツール診断とし、WebアプリケーションはOWASP Web Testing Guideに準じた手動診断。 OWASP Web Testing Guideにはクライアントサイドの診断項目も含んでおり非常に網羅性があります。 |
現在のモダンなWebアプリケーションの多くのWebAPIを通じて、より便利なアプリケーションを実現しています。攻撃者はWebAPIの重要性を理解し非セキュアなWebAPIに対し攻撃を行いDoS、不正行為、機密情報の流出などをもたらします。アッタクサーフェスとしてはプラットフォーム、WebAPIが考えられます。
Restful APIやOpenAPIの仕様に基づきテストデータを持ちてWebAPIにアクセスしWebAPIの脆弱性を診断します。全てのWebAPIがエンドポイントとなるため基本的には全てWebAPIを対象することが多いです。
| ケース | 診断や対策例 |
|---|---|
| ベストケース | プラットフォームはツール診断とし、WebAPIは、OWASP Web Testing Guideに準じた手動診断。 WebAPI固有の診断要素もありますが、OWASP Web Testing Guideには、サーバサイドの多くの診断項目も含んでおり、 非常に網羅性があります。 |
| 追加の防御 | WAFによる保護。最新のWAFにはWebAPIの仕様に応じたProfilingが可能なものもあり、より強固な防御が可能。 |
外部と内部の脆弱性を利用した攻撃が想定されます。外部診断のみを実施するケースもありますが重要なシステムにおいては侵入されたことを想定した取組み(フェイルセーフ)が被害の最小化につながります。PCIDSSでは外部だけでなく内部診断も必須としています。
外部と内部からプラットフォームの脆弱性診断を実施し既存の脆弱性を把握します。
| ケース | 診断や対策例 |
|---|---|
| テストケース |
外部からアクセス可能なエンドポイントには外部プラットフォーム診断。 内部ネットワークからの攻撃をも想定し、全てのサーバやネットワーク機器に対しては内部プラットフォーム診断。 見つかった脆弱性のうち高い危険度(CVSS 7.0以上)を示すのものは最優先で対策を実施することで リスクの緩和(Mitigation)を図ることができる。 |
お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0、WebSiteScan、WebSiteScanProの3つのシリーズよりお選びいただけます。