ブログ

Webアプリケーション診断とは?診断ツールの選定ポイントも解説

2023/07/19 ブログ

Webアプリケーション診断は、とても重要でWebアプリケーションを運用している企業なら必ず実施すべきです。

とはいえ、「診断といってもどんなことをするのかわからない」というセキュリティ担当者の人もいると思います。

 

そこで、この記事では以下の内容を解説しています。

  • Webアプリケーション診断とは?

  • Webアプリケーション診断の必要性

  • 診断ツール(サービス)を選ぶポイント

 

この記事を読むことで、Webアプリケーション診断の中身がわかり、なぜ必要なのかが理解できます。

わかりやすく解説していますので、ぜひ最後まで読んでみてください。
 

Webアプリケーション診断とは?

ファイル (37).png

Webアプリケーション診断とは、インターネット上に公開されているWebアプリケーションに対して脆弱性がないか診断士が調査することです。

診断士が攻撃者目線で疑似攻撃を行い、システム停止や情報漏えいなどにつながる脆弱性を徹底的に洗い出します。

 

脆弱性を放置すると、自社が被害にあうだけでなく他サイトへ攻撃するための踏み台になる可能性もあるのです。つまり、加害者にもなり得ます。

 

このことから、顧客の重要情報を扱っている企業にとってWebアプリケーション診断は、必須のセキュリティ対策といえるでしょう。

 

Webアプリケーションとは?Webサイトとの違い

ファイル (38).png

Webアプリケーションとは、ネット環境があればインストールせずに使えるアプリを指します。具体的には、AmazonやYoutubeなどのショッピングサイトのことです。

 

Webサイトと良く似ていますが、違いは多様性にあります。Webサイトに位置づけられるブログは、発信者が一方通行で情報発信しているので、機能は「閲覧」のみです。

それに対してWebアプリケーションは、商品の購入やデータ変更・保存などいろいろな機能が使えます。
 

診断方法(自動診断と手動診断)

診断方法には、自動診断と手動診断があります。

 

自動診断(ツール診断)とは、自動検査ツールを使用して機械的に脆弱性を判断する方法です。作業時間が短く、低コストで行えます。

ある程度の知識があれば脆弱性診断士の能力も問われませんが、手動診断と比較して精度は落ちます。

また自動診断ではチェックできない脆弱性もあるのがデメリットです。

 

手動診断は、診断士が実際に検査しますので、自動診断では診断できない脆弱性も検査できるのが特徴です。

デメリットとしては、脆弱性診断士の技量に診断結果が左右されることがあげられます。また、自動診断と比較して作業時間やコストがかかる点も、気をつけなければなりません。

 

以下の表に、自動診断と手動診断の特徴をまとめたので参考にしてください。

 

自動診断

手動診断

メリット

・作業時間が短く低コスト

・診断士の能力に依存しない

・精度が高い

・自動診断で発見できない脆弱性も発見できる

デメリット

・精度が劣る

・診断できない脆弱性もある

・診断士の能力に依存する

・作業時間とコストがかかる

 

診断チェック項目

診断サービス業者により項目は異なりますが、大まかには以下のようになります。

  • 入出力処理

  • 認証機能

  • セッション管理

  • 設定/運用

詳しく解説していきます。

 

入出力処理

クロスサイトスクリプティングとSQLインジェクションは脆弱性を突いた代表的な攻撃です。入出力処理では、これらの攻撃を受ける危険性がないかをチェックします。

 

クロスサイトスクリプティングとは、悪質なサイトへ誘導するスクリプトを実行し、ユーザーの個人情報などを詐取する攻撃のことです。

また、SQLインジェクションは、SQLというデータベースを操作する言語を不正に使って、情報を抜き取る攻撃のことをいいます。

 

これらは、Webアプリケーションやサーバー、デーベースへの不正な入出力をすることで情報漏えいにつながります。
 

認証機能

第三者が推測しやすい情報の入力で、ログインできるかどうかを調査します。簡単にログインできるIDやパスワードを使用していると、情報流失の危険性が高まりますので、ログイン機能を精査します。

 

セッション管理

セッション管理とは、ユーザーごとに個別のページを表示するWebアプリケーションで用いられる技術です。

なりすましの被害を防ぐため、ユーザーを識別するセッションIDが推測されやすい形になっていないかなどを診断します。
 

設定/運用

運用・管理に問題がないかもチェックします。人的ミスで、意図していない設定になっていたり、見せたくないファイルが公開されていたりする場合もあるので注意が必要です。

このような管理ミスがないかも診断します。
 

Webアプリケーション診断の必要性

10.png

Webアプリケーション診断の必要性を3つ解説します。

 

7割がWebアプリケーションの脆弱性

IPA(情報処理推進機構)が発表する「ソフトウェア等の脆弱性関連情報に関する届出状況」をみてみましょう。

届出受付開始からの累計で、ソフトウェア製品に関するもの4,517件に対して、ウェブサイト(Webアプリケーション)に関するものは10,972件という結果でした。約7割をWebアプリケーションの脆弱性で占めています。

このことから、Webアプリケーションを運用している企業は、定期的な診断が必要といえるでしょう。

 

 

 出典: IPA「ソフトウェア等の脆弱性関連情報に関する届出状況」│https://www.ipa.go.jp/archive/security/reports/vuln/software/vuln2020q1.html

 

被害者だけでなく加害者になる危険性

セキュリティ対策が十分にされていないWebアプリケーションを運用していると、システムを乗っ取られる可能性があります。

その結果、他社のサイトに攻撃を仕掛けることもあり得るのです。被害者であるにもかかわらず、加害者の立場にされることにもなりかねません。

 

運営する側のセキュリティ対策をする義務

脆弱性を利用した攻撃は、ユーザー側でいくら注意しても、防げる類いの脅威ではありません。

したがって、Webアプリケーションを運営している側で対策を行う必要があるのです。日々新しい脆弱性が発見されているので、常に最新の情報をチェックして対策していきましょう。
 

診断ツール(サービス)を選ぶポイント

ファイル (29).png

たくさんある診断ツールから、どれを選んだら良いのか悩んでしまう方も多いのではないでしょうか。

ここからは診断ツールを選ぶポイントについて解説します。

 

診断の手法

まず、診断の手法を決めましょう。自動診断だけでなく診断士による手動診断や、両方組み合わせて実施するケースもあります。

どの項目を重点的にチェックして欲しいのか、要望を伝えましょう。とくに重要な部分は、手動診断してもらった方が、精度の高い診断が期待できます。どこまで要望を聞いてもらえるのかが選定ポイントともいえるでしょう。

 

診断期間・スケジュール

ツール診断と比較して、手動診断は精度や信頼性が高いですが、手作業でみていくため時間が掛かります。スケジュールがタイトな場合は、診断期間に注意が必要です。

 

導入実績

過去の導入実績を参考にするのも良いでしょう。サービスを提供している企業がどの分野に詳しいのかがわかるからです。

例えば、金融系に詳しい企業もあれば、医療系に強い企業もあります。自社の業種に強いサービスを選択できれば安心です。

 

アフターサポート

診断後のアフターフォローも重要なポイントだといえます。脆弱性診断の範囲は、一般的に脆弱性を発見するところまでのケースがほとんどです。

その後の対策方法は教えてもらえるのか、もしくは実際に対策してもらえるのか、に関しては各社サービスにより違います。

自社で対策できない場合、アフターサポートが充実しているサービスを選択しましょう。
 

診断料金

診断料金は、自社の予算事情にもよりますが、なるべく費用を抑えたいところです。各社サービスによって料金は様々なので、これまで紹介したポイントを見比べ、料金を加味して判断しましょう。

 

まとめ

ファイル (39).png

Webアプリケーションの脆弱性に対して、悪意のある攻撃者が日々攻撃を仕掛けてきています。

そんな時に何も対策していないと被害が拡大し、資金だけでなく企業の信頼も失ってしまうのです。

 

運営する側には、セキュリティ対策をする義務があるので、できる対策は惜しまずにやらなければなりません。

まずは、Webアプリケーション診断を通して自社の現状をしるところからスタートしましょう。