ブログ

Webセキュリティ診断とは?【診断内容とサービス選定ポイント5つを解説】

2023/07/26 ブログ
webセキュリティ診断

Webサイトのセキュリティ対策をするために、Webセキュリティ診断を検討している担当者の方もいると思います。

しかし、「Webセキュリティ診断って具体的にどんなことをするの?」「どうやって診断サービスを選べばいいの?」と悩んでいる方は多いのではないでしょうか。

 

そこで今回の記事では、Webセキュリティ診断の内容を説明し、サービスの選定ポイントまでを徹底解説していきます。

この記事を読めば、Webセキュリティ診断を理解し、自社のWebサイトのセキュリティ対策に役立ることが可能です。

 

ぜひご一読ください。
 

Webセキュリティ診断とは?

ファイル (45).png

Webセキュリティ診断とは、Webサイト(アプリケーション)に脆弱性が無いか診断するサービスです。

脆弱性診断とも呼ばれ、脆弱性を早期発見するためには、定期的な診断が欠かせません。

 

脆弱性を放置した結果、企業の機密情報や個人情報の漏えい、データ改ざんなどの被害を受ける可能性があるからです。

発見された脆弱性に対策をすれば、被害を避けられたり最小限に食い止めたりできます。

 

以上のことからWebセキュリティ診断は、Webサイトを運営するために、とても重要だといえるでしょう。
 

 

そもそも脆弱性ってなに?

脆弱性とは、セキュリティ上の弱点や欠陥のことです。

攻撃者はセキュリティの欠陥をついて攻撃をしてくるので、攻撃されても被害に遭わないよう日頃から対策をしなければいけません。

 

Webサイトを開発する際には限られたリソース(コストや人、時間)の中でWebサイトを開発する必要があるため、検証にかけられる時間がとても限られていることが多いです。

 

したがって、テスト段階で全ての脆弱性を見つけ出すことが難しいため、脆弱性はどのWebサイトにもほぼ確実に存在すると言っても良いでしょう。

 

診断方法【ツール診断と手動診断】

診断方法には、ツール診断(自動診断)と手動診断の2つがあります。

 

ツール診断は、ツールを使って自動で行うため、診断士の技量に依存しません。また、短期間で網羅的に診断できます。

一方で手動診断は、診断士が手作業で診断するので、診断期間は長くなる傾向です。手動診断のメリットには、診断の信頼度があげられます。技量の優れた診断士であれば、誤診断も少なく、ツール診断で見抜けない脆弱性も発見できるのです。

 

この2種類のどちらか片方だけ、もしくは併用しながら診断します。

 

それぞれの特徴は、下記の通りです。

 

メリット

デメリット

ツール診断

  • 診断期間が短い

  • 診断士の技量に依存しない

  • 料金が安い

  • 見つけられない脆弱性もある

  • 診断精度が劣る

手動診断

  • 診断精度が高い

  • ツールで見つけられない脆弱性を発見できる

  • 診断期間が長い

  • 料金が高い

  • 診断士の技量に依存する

 

Webセキュリティ診断の項目

各社サービスによって様々ですが、主な診断項目を紹介します。
 

診断項目

診断内容

SQLインジェクション

データベースへの命令(SQL)を改ざんすると、悪意ある命令を実行できます。これを利用し、不正にデータを操作したり、取得したりされる可能性がないかを診断します。

クロスサイトスクリプティング

Webページに悪意のある命令(スクリプト)が埋め込まれて、そのWebページを閲覧したユーザーに被害が出ることがあります。攻撃者により、スクリプトを埋め込まれる可能性がないかを診断します。

OSコマンドインジェクション

開発者が想定していない形で、コンピュータに任意のOSコマンド(命令)を不正に実行させられないか診断します。

ディレクトリトラバーサル

ディレクトリ内の非公開ファイルを見ようとする攻撃。ディレクトリとは、フォルダのことです。非公開ファイルが見られる可能性がないかを診断します。

クロスサイトリクエストフォージェリ

ログインしているユーザーに、不正なリンクを踏ませて、意図しない操作をさせる攻撃です。たとえば、オンライン決済を勝手にするなど。そのような可能性がないかを診断します。

 

Webセキュリティ診断の必要性

ファイル (37).png

Webセキュリティ診断の必要性を3つ解説します。

 

セキュリティインシデント(事故)の発生・被害を低減できる

Webセキュリティ診断を実施すれば、セキュリティインシデントの発生を抑えたり、被害を最小限にしたりできます。

 

攻撃される前に洗い出された脆弱性に対して、対策が打てるからです。

漠然とセキュリティ対策するよりも、どこを修正すれば良いかが可視化されるのもメリットといえます。

 

リリース後に脆弱性対策するコストを削減できる

Webサイトのリリース前にセキュリティ診断を実施し、脆弱性の対策をしておけば、あとで修正するよりコストを削減できます。

 

リリース後に脆弱性が見つかった場合、バージョンをロールバック(前の状態に戻す)しながら、修正する必要があるからです。

 

払わなくて良いコストをカットするためにも、リリース前にセキュリティ診断をしておくべきでしょう。

 

ユーザーの安心のため

ユーザーに安心して使ってもらえなければ、企業としても事業を継続できません。

一昔前と違いWebサービスは身近なものとなり、なくてはならないものになっています。

ユーザーを守るためにも、サービス提供者が未然に事故を防ぐ対策をすることは、義務だといえるでしょう。
 

脆弱性を放置するリスク

ファイル (67).png

脆弱性を放置すると、どのようなリスクがあるのか見ていきましょう。
 

マルウェア感染の被害にあう可能性が高くなる

マルウェアとは、悪意のあるコードやソフトウェアの総称。有害な動作をするために作成されたものです。感染すると、パソコン内のデータ改ざんや破壊、情報の外部流失につながります。

マルウェアの代表的なものは、下記の通りです。

  • ウイルス

  • トロイの木馬

  • ワーム など

脆弱性を放置すると、これらのマルウェアに感染するリスクが高まります。

 

金銭を目的とした犯罪に巻き込まれる可能性がある

攻撃者が金銭を目的として攻撃してくる場合もあります。

 

たとえば、攻撃者が不正アクセスして個人情報や企業の機密情報を抜き取ったとします。

抜き取った情報を人質にして身代金を要求してくるというわけです。

 

このように、金銭を目的とした犯罪に巻き込まれるリスクも想定されます。
 

診断サービスの選定ポイント5つ

ファイル (29).png

次に、数ある診断サービスの中からどのように選べば良いか、サービスの選定ポイントを解説していきます。

 

診断事業者の技術レベル

事業者の技術レベルを確認しましょう。

とくに手動診断では、診断士の技術によって結果に差が出てくるからです。

 

具体的には、診断士の経験や実績を確認しましょう。また、診断士の資格の有無も判断材料になります。

資格を持っていれば、客観的に能力があると評価できるのでわかりやすいからです。
 

診断方法

診断方法はツール診断か手動診断、もしくは併用して行われます。

ツール診断の方が料金は安いのですが、診断士による手動診断の方が診断の精度は高いので、一長一短です。

項目毎に使い分けるなど、自社のニーズを満たせるかどうかを確認しましょう。

 

アフターサポート

診断後のアフターフォローについても確認すべきでしょう。

診断して終わりではなく、最終的な目的はセキュリティ対策をして安心安全なサービスを提供することにあるからです。


報告書の提出だけで終わるのか、もしくは発見された脆弱性の対策方法までコンサルしてもらえるのか、などは業者によって異なります。

診断後にどこまでの範囲をサポートしてもらえるのか事前に必ず確認してください。
 

導入実績

診断サービス事業者の導入実績も参考になるでしょう。同業者へ導入実績があれば、自社のWebサービスについても精通している可能性が高いからです。

 

たとえば、自社でショッピングサイトを運営しているとします。同じくショッピングサイトを運営している同業者が導入しているのであれば、Webサイトの仕組みを理解しているはずです。したがってスムーズな診断が期待できるでしょう。
 

料金

ツールやサービスに掛かる費用は各社によって違います。複数社を比較することが大切です。

自社の予算もあると思うので上記4点も含めて、予算内で収まる一番バランスのとれたサービスを選択しましょう。
 

まとめ

今回はWebセキュリティ診断について解説しました。

Webセキュリティ診断は、Webサイトを運営するために欠かせないものです。

 

自社を守るためだけでなく、ユーザーを守るためにもセキュリティ対策は必ずやらなければなりません。

まずはWebセキュリティ診断を実施して、対策しなければならない箇所を明確にしましょう。