サービス一覧

SERVICE

Webアプリケーション 脆弱性診断
プラットフォーム 脆弱性診断
脆弱性の リスク分析

Webアプリケーション脆弱性診断

 スタンダード

各処理(URL)に対して、適切なシナリオを作成し、外的要因(*1)によるレスポンスへの影響をなくすことで正確に診断いたします。

ライト

1~3日程度の短期間で対象全体の診断を行います。スピード重視の診断方法ですので、脆弱性の検知率は高くありません。

*1 外的要因とは、対象パラメータへの診断パターン以外の要因です。例えば、セッション有効期限切れ、アカウントロック、対象パラメータ以外の入力エラー、データ個数切れ(在庫数など)、ページ遷移トークン値エラー、etc

 使用ツール例  Vex(スタンダード)、AppScan(ライト)、OWASP ZAP(ライト)

 手動確認  ツールでは検知が難しい項目を手動で確認します(スタンダード診断)。例えば、セッションIDの発行と破棄の確認、格納型クロスサイトスクリプティング、ユーザーロールの違いによるアクセス制御確認、ページ遷移のコントロール確認、不正ファイルのアップロード確認、パスワード設定の強度確認、GETパラメータやCookieの重要情報確認、etc

プラットフォーム脆弱性診断

外部型

ネットワークの外部(インターネット)から診断します。外部から実際に攻撃を受ける観点になりますので検知された場合は現実的なリスクと考えられます。(*2)

アプライアンス型

外部からアクセスできないサーバーに対して診断する場合に用います。ネットワーク内部にアプライアンスを設置して診断します。診断のやり方自体は外部型と同様になります。(*3)

エージェント型

対象サーバー内にエージェントを常駐させて管理者権限で診断するため外部型とは全く違います。サーバー内のインストールソフトバージョン情報や設定情報を読み取って、内在する脆弱性を検知します。(*4)

ログイン型

クレデンシャル型とも言います。対象サーバーに管理者権限でログインして診断します。診断自体は上記のエージェント型と同様になります。(*5)

*2 通常はファイアウォールでアクセス可能なポートが制限されているため、サーバーに内在する脆弱性はほとんど検知できませんが、公開されている攻撃方法による検知は実際のリスクとなり得るものです。
*3 ファイアウォール内ですので、アクセス可能なポート次第で外部型より検知される脆弱性は多くなります。
*4 すべてのソフトウェア情報を検知できる訳ではなく、あくまでOSが管理しているソフト情報に限ります。従って、構成管理をツールで行う場合には、標準インストール以外のソフトは別の方法で管理しなければなりません。また、OSや製品の同梱ソフトやライブラリの脆弱性も検知するため、極めて多数の脆弱性が検知される可能性があります。
*5 エージェント型は定期的に勝手に診断してくれるのに対して、ログイン型は操作画面などから操作して診断する必要があります。

 使用ツール例  VQualysGuard、Rapid7、Retina

※ご注意 使用するツールはフリーライセンス(OWASP ZAPなど)以外につきましてはお客様のほうでご用意願います。

   

脆弱性のリスク分析

検知された脆弱性の危険度(リスクレベル)を環境など総合的に考慮して判定する作業のサポートをいたします。

危険度の判定を間違えることでその後のリスクにも大きく影響することになりますので、危険度(リスクレベル)の判定は重要な作業と言えます。 Webアプリケーションの場合は、基本的に検知された脆弱性を手動で確認するため、おおよその危険度は把握することができます。プラットフォーム診断でも外部型の場合は、確認が可能な場合もあり確認できないとしても、リスクレベルの信用度は高いと考えられます。 エージェント型やログイン型の場合は、あくまで内在している脆弱性なので、実際のリスクとは異なるものです。リスクレベルは、ツール(ツールベンダー)が独自に評価しているものと、CVSS方式によるCVSSスコアによるものが一般化しています。これらのリスクレベルは脆弱性自体のリスクであり、実際のリスクには、サーバーの置かれた環境やその他の要因が絡んでくるため、単純ではありません。 お客様のサーバー環境やサーバーの重要度、セキュリティポリシー、対応パワーなどを考慮しつつ、リスク分析のサポートを行います。