どこに悪意が潜む?Web脆弱性診断のススメ

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

どこに悪意が潜む?Web脆弱性診断のススメ

2012/02/27


 2011年は大規模な個人情報漏洩事件やパスワード流出事件など、様々なセキュリティインシデントに見舞われた年だったこともあり、企業ではシステムに潜む脆弱性への対策を検討するため、自社の環境を見直す動きが相次いだ。そこで注目を集めたのが、Webアプリケーションの脆弱性を診断する「Web脆弱性診断サービス」だ。今回は、多くの企業が採用を決めているWeb脆弱性診断サービスの基本的な仕組みを見ていきながら、その有用性を再確認していきたい。

Web脆弱性診断

※「Web脆弱性診断/どこに悪意が潜む?Web脆弱性診断のススメ」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「Web脆弱性診断/どこに悪意が潜む?Web脆弱性診断のススメ」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

Web脆弱性診断サービスとは

 Web脆弱性診断サービスとは、Webアプリケーションが稼働しているWebサイトの安全性を調査することで、脆弱性の有無やそのリスクを判断してくれるサービスだ。Webアプリケーションの脆弱性がもたらすインシデントには、個人情報の漏洩やECサイトなどにおけるなりすまし、不正なコマンド攻撃によるサービス停止など、様々なものが挙げられる。これらセキュリティリスクを最小限に抑えるためにも、Webアプリケーションの脆弱性を“プロの目線”から診断してくれるこのサービスは非常に有用だと言える。

図1 Web脆弱性診断サービス概念図
図1 Web脆弱性診断サービス概念図
資料提供:セキュアスカイ・テクノロジー

 なお、Webアプリケーションの脆弱性については、独立行政法人情報処理推進機構(IPA)が2011年4月6日に公開した「安全なウェブサイトの作り方<改訂第五版>」に詳しく紹介されており、脆弱性の種類や安全性向上のための取り組みなどが詳細に掲載されている。SQLインジェクションやクロスサイトスクリプティングなど、知っておきたい脆弱性情報がしっかりと網羅されており、一度は確認しておきたい。

■需要が急増している背景

 Web脆弱性に対する診断サービスが改めて重要視されているのは、昨年起こった事件に起因するところが少なくない。有名な事件では、オンラインサービスから数千万件分の個人情報が流出したとされるソニーグループをはじめ、サイバー攻撃によるウイルス感染でサーバのパスワードが盗まれたとされる三菱重工業、暗号化された議員のID・パスワードが議員会館のパソコンから漏洩した事件などがあった。
 Webの脆弱性に直接起因する事件ではなかったものの、事件発覚後にはセキュリティに対する意識の高まりを受けてWeb脆弱性診断に対する問い合わせが急増し、昨年に比べると1.5〜2倍にまで膨れ上がったサービスベンダもある。

■サービスを検討する企業の傾向とその目的

 Webサイトを持っているあらゆる企業が対象になるWeb脆弱性診断サービスだが、最近ではWebサイトをビジネス基盤の中心においているECサイトやSNSサイト、ゲーム系サイトなど、頻繁にサービスを立ち上げたり改修・追加開発したりする企業からの依頼が増加傾向にある。また、提供しているシステムがセキュアであることを証明するために、開発段階から脆弱性診断を利用しているSIerやシステム開発会社も増えつつある。
 サービスを利用する主な目的は、脆弱性を発見してセキュリティリスクを可能な限り軽減することだ。また、第三者から診断を受けたというエビデンス(証拠)を残し、顧客に安全性をアピールする狙いを持っている企業もあれば、開発ライフサイクルに診断サービスを組み込み、セキュアプログラミングの環境を自社内で作り上げることを目指す企業もある。
 ちなみに、開発段階で診断を行ったほうが手戻りも少なく、結果として開発コストを抑えられる。

■Web脆弱性診断サービスはマニュアル診断

 Webサイトの脆弱性をチェックする際には、今回紹介しているサービスを利用するだけでなく、市販されている脆弱性診断ツールを購入して自社で行うことも可能だ。診断サービスの中には市販ツールを利用して診断を代行するサービスもあるが、主だったベンダでは手作業によるマニュアル診断が中心となる。入力作業など手作業を簡素化するために独自で開発したツールを駆使しているベンダも多い。
 ツール診断では、診断作業が半自動化できるメリットがあるものの、実務に合わせたチェックがしにくいのが実態だ。例えば、診断ツールは自動的にクロールして診断を行うものと実際の画面遷移を覚えさせてツールを動かすものがあるが、何か文字を入力しないと次の画面に行けない作りであれば自動クロールは使えない。また、動作を覚えさせるツールであれば人によって手順の差が発生し、検知精度が著しく低下する恐れもある。Webサイトへ情報を入力後、メールに書かれたURLをクリックさせて会員登録が完了するようなアプリケーションなど、診断ツールだけでは一連の作業検証ができないものもある。だからこそ、手作業によるマニュアル診断が必要になってくる。

図2 マニュアル、ツールのメリットデメリット
図2 マニュアル、ツールのメリットデメリット
資料提供:京セラコミュニケーションシステム

 ちなみに、自社内でWeb脆弱性診断ツールを購入して診断を行う場合、高い診断スキルが要求されることになるため、専門性の高い人材確保が必須となる。しかし、専門性が求められる診断だけに、将来的なキャリアパスが企業内で描けないと社員として専任者を確保し続けるのは難しいのが正直なところだ。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

Web脆弱性診断/どこに悪意が潜む?Web脆弱性診断のススメ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Web脆弱性診断」関連情報をランダムに表示しています。

Web脆弱性診断」関連の特集


過失による情報漏洩の中で大きな割合を占めているメールによる誤送信。このメール誤送信に関する法的なリス…



IT担当543人対象に「Web脆弱性診断サービスの導入状況」を調査。導入のきっかけや重視ポイントから…



Webサーバの情報漏洩対策、各企業の力の入れ具合の現状は?Web脆弱性診断サービスの満足度や導入しな…


「セキュリティ診断」関連の製品

Webアプリケーション脆弱性検査ツール Vulnerability Explorer 【ユービーセキュア】
セキュリティ診断
Webアプリケーションの検査対象ページを正しく巡回し、脆弱性の診断を行う検査ツール。脆弱性の検出率が高く、目的に応じたきめ細かいレポート出力ができる。

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Web脆弱性診断/ どこに悪意が潜む?Web脆弱性診断のススメ」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「Web脆弱性診断/ どこに悪意が潜む?Web脆弱性診断のススメ」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004518


IT・IT製品TOP > ネットワークセキュリティ > セキュリティ診断 > セキュリティ診断のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ