脆弱性管理、診断|知る×学ぶ
Webアプリケーションの脆弱性診断の見落としがちな注意点とは
ビジネスに欠かせない存在となっているWebアプリケーション(以下、Webアプリ)。
DXを推進する上でも、重要な役割を果たすようになっていますが、一方でサイバー攻撃のターゲットにもなりやすく、脆弱性を抱えた状態では、セキュリティインシデントを生み出す危険性もあります。
Webアプリのセキュリティリスクを回避する上では、定期的な脆弱性診断が欠かせませんが、従来の脆弱性診断サービスには見落としがちな注意点があります。
そこで本記事では、安全なWebサービスの提供に取り組まれている方々に向けて、Webアプリの脆弱性診断の見落としがちな注意点を解説します。
▼ 目次
・脆弱性の届出件数の7割はWebアプリ
・Webアプリの脆弱性診断の注意点とは
・9,000ページにのぼるWebサイトを1週間で診た話題の脆弱性診断
・これまで不可能だった「サイト全体の診断」も可能に
1. 脆弱性の届出件数の7割はWebアプリ
Webアプリとは、Webブラウザなどで動作するアプリケーションソフトウェアで、具体例としては下記などを指します。
- YouTube等の動画再生
- 入力フォーム
- ショッピングサイトのカート
つまり、WebアプリはHTMLだけでは実現できない高度な機能を指します。
このWebアプリの数はDXの進展に伴い、急速な勢いで増えています。
理由は、Webアプリはビジネスの競争力を高める上で重要な存在になっており、開発サイクルも以前より短くなっているためです。
ここで課題となるのが、これらのWebアプリのセキュリティの確保です。
最近では企業を狙うサイバー攻撃が巧妙化しており、その入口として企業のWebアプリが狙われることも増えています。
セキュリティホールを放置したまま運用していれば、いずれは攻撃者の餌食になってしまい、マルウェア拡大などの踏み台にされる危険性があります。
しかし開発サイクルのスピードが求められる中で、次々と新しいWebアプリがリリースされるようになったことで、セキュリティの確保が十分ではないケースも少なくないようです。
独立行政法人 情報処理推進機構(IPA)も、Webアプリが抱えるセキュリティリスクの重要性を指摘しています。
2021年7月に公表された「ソフトウェア等の脆弱性関連情報に関する届出状況 2021年第2四半期、4月~6月(https://www.ipa.go.jp/security/vuln/report/vuln2021q2.html)」によれば、脆弱性の届出件数もソフトウェア製品に比べてWebサイトの方が圧倒的に多く、その割合は約7割に上っています。
Webアプリの脆弱性は多岐にわたっており、これらを徹底的に潰していかなければ、なかなかゼロにはならないのです。
例えば訪問者に入力してもらうフォームページ。入力内容のサニタイズは、きちんと行われているでしょうか。
これが不十分な場合には、SQLインジェクションによってバックエンドのデータベースに不正アクセスされたり、OSコマンドインジェクションによって不正なコマンドが実行される危険性があります。
またGETメソッドの処理が不適切なサイトでは、そこにクロスサイトスクリプティングが仕込まれるかもしれません。
さらにセッション管理を行っているWebアプリの場合には、その不適切な管理がセッションハイジャックを呼び起こすことも考えられます。
これらは全てよく知られた古典的な攻撃手法ですが、この程度のセキュリティ対策すらなされていないWebアプリは決して少なくありません。
Webアプリの数が増えていけば、このような「セキュリティの死角」はさらに増えていくでしょう。
そして攻撃手法はこれらだけではなく、他にも数多く存在します。
全てを網羅したWebアプリのセキュリティ対策は、決して簡単なものではないのです。
2. Webアプリの脆弱性診断の注意点とは
Webアプリのセキュリティリスクを回避するには、定期的な脆弱性診断サービスが欠かせません。
このWebアプリの脆弱性診断とは、Webアプリにセキュリティ的な問題が潜んでいるのか、第三者の視点から診断するサービスです。
脆弱性診断によって、セキュリティの「死角」を発見でき、その後の対策に活かすことができます。
しかし、従来のWebアプリの脆弱性診断には利用する上での注意点があります。
2-1. 脆弱性診断の準備に、かなりの時間と労力が必要
従来のWebアプリの脆弱性診断は、セキュリティの有識者が手作業で診断するため、膨大な数のWebアプリをすべてチェックすることができません。
したがって、脆弱性診断を希望する企業は診断対象となるアプリケーションやページを、あらかじめ絞り込んでおく必要があります。
絞り込みは利用企業側で行わなければなりませんが、その判断も簡単ではありません。
何故ならば、Webアプリの全体構成や、各ページの処理内容を開発者に聞く必要があるからです。
外部に開発を委託した場合には、その会社に問い合わせしなければなりません。
もちろん管理者が自力で仕様書を解析して判断する、といったアプローチも考えられますが、これもかなりの労力がかかります。
実際には「そもそもどこをチェックすべきなのかがわからない」という管理者の方が多いのではないでしょうか。
2-2. 脆弱性診断のコストが高く、内訳が複雑
一般的なWebアプリの脆弱性診断は、実施コストが高くなる傾向があり、その内訳の理解が難しい点も、脆弱性診断の注意点であると言えます。
そのため予算確保のための稟議を通すの作業も簡単ではありません。
さらに見積もり依頼にも注意が必要です。
実際に見積り依頼をした際にリクエスト数を聞かれ、すぐには答えられなかったという事例も少なくありません。
- リクエスト数とは
- リンクやボタンを押下した際に発生するHTTPリクエストの数のこと
- リクエスト数 = Webサイトに存在する内部リンクの数 + ボタン数の合計値
- ただし、サイトの作りによっては1つのボタンを押した際にHTTPリクエストが複数発生するということもあるため、正確なリクエスト数を知るにはWebサイトへのアクセスが必須となる
2-3. Webサイトの一部しか診断できない
事前の絞り込みを諦めてサイト全体の診断を依頼した場合には、当然ながら高額な見積りとなります。
人手による診断では作業が昼間に行われることが一般的なので、各Webアプリの運用担当者との調整も必要です。
この問題を回避するために夜間の診断作業を依頼した場合には、別料金になることも多いようです。
こうした結果、コストとの兼ね合いから、Webサイトの一部しか診断できないといったケースに陥りがちです。
そもそも、Webサイトの一部のみを対象とした診断は、脆弱性診断の見落としの危険性もあります。
2-4. 診断結果が提出されるまでに時間がかかる
診断も時間がかかるため、報告書を受け取るまでかなり待たされることになります。
お取引先や監査会社から診断結果の提出を迫られている、或いは改修したWebアプリのリリースを急ぎたい際に、担当者を悩ませます。
3. 9,000ページにのぼるWebサイトを1週間で診た話題の脆弱性診断
えっ本当?と同僚にシェアしたくなるほどの実績を誇るWebアプリに特化した脆弱性診断サービスがあります。
その名は、伊藤忠テクノソリューションズ(以下、CTC)が提供する「Webアプリケーション脆弱性診断エクスプレス」です。
Webアプリケーション脆弱性診断エクスプレスは、前述した従来型の脆弱性診断が抱える課題を解決し、サイバー攻撃から企業のWebサイトを守るために、2020年12月からサービスの提供を開始しました。
事実、Webアプリケーション脆弱性診断エクスプレスは、合計9,000ページにのぼるWebサイトの診断を、わずか1週間で完了させた実績があります。
15年にわたり一般的な脆弱性診断サービスを提供してきたCTCは、その知見やノウハウを集約し、サイバー攻撃や脆弱性診断の有識者と高速で精密なAIを協業させることで課題を解消したのです。
- お客様による診断対象の選定を不要に
- 診断時間の短縮
- コストの抑制
- 料金体系の簡素化
従来型のWebアプリ脆弱性診断と「Webアプリケーション脆弱性診断エクスプレス」の比較をまとめた表が下記になります。
まず注目していただきたいのが、AIを活用することで脆弱性診断の対象が、自動的に選定されることです。
そのため利用企業側で事前に診断対象を絞り込む必要がありません。
実際の診断作業と料金はFQDN単位となっているため、サイト全体をまとめて診断することも可能です。
診断実施期間が5営業日と明確で、診断期間終了後には最短5営業日で報告書が提出されることも、大きなメリットだと言えます。つまり最短10営業日で、Webアプリの問題をあぶり出すことができるのです。
夜間の診断も基本料金に含まれるため、昼間のアクセス数が多い時間帯を回避できます。
サービス内容がこれだけシンプルであれば、予算確保のための稟議や、各Webアプリの担当者との調整も、容易になるはずです。
Webアプリの脆弱性診断を短期間でコストを掛けずに実施されたい企業は、以下よりWebアプリケーション脆弱性診断エクスプレスの詳細をご覧ください。
4. これまで不可能であった「サイト全体の診断」も可能に
Webアプリケーション脆弱性診断エクスプレスのメリットはシンプルさだけではありません。
事前に診断対象を絞り込む必要がないということは、これまでは実施がほぼ不可能だった「Webサイト全体の診断」も可能になるということです。
これは診断を受ける企業にとって、計り知れないメリットになると言えるでしょう。
対象を限定せずに網羅的な診断が行えれば、より広くセキュリティリスクを低減できるからです。
従来型の脆弱性診断では、脆弱性が潜みやすいフォームを中心に、機能性の高いページを対象として診断を行うのが一般的でした。
そのため、GETメソッドで情報を表示するだけのページや、メインページからのリンクを外した「非公開ページ」の診断は、ほとんど行われていません。
しかし前述のように、GETメソッドの処理が不適切な場合にはクロスサイトスクリプティングの危険性があります。
また管理者が非公開にしたつもりのページでも、過去にクローリングされていた場合にはそのキャッシュが残り、検索結果に表示される可能性があります。
Webアプリケーション脆弱性診断エクスプレスの診断項目は下記に対応しています。
- Webアプリ・セキュリティに対する啓発のためのドキュメントである「OWASP Top10」
- IPAの「安全なウェブサイトの作り方」
これによってWebアプリの脆弱性を網羅的にチェックできます。
そのため、従来型の脆弱性診断では発見できなかった脆弱性も、発見しやすいのです。
つまり、単にシンプルでスピーディというだけではなく、これまではほぼ不可能だったことが実現可能になるという点が「Webアプリケーション脆弱性診断エクスプレス」の最大の価値だと言えます。
Webアプリ脆弱性診断サービスの料金、サービス提供の流れ、診断レポートのイメージなどの詳細については、以下よりご欄いただけます。
まとめ
本記事で述べたポイントをまとめると、以下のようになります。
- DXの進展によるWebアプリの増加に伴い、Webアプリのセキュリティリスクも増大している
- このようなリスクを回避するには、定期的にWebアプリの脆弱性診断を受けるのが効果的であるが、従来型の脆弱性診断は下記の課題があった
- 事前準備が大変
- コストが高く内訳が複雑
- Webサイトの一部しか診断できない
- 診断結果が提出されるまで時間がかかる
- こうした従来型の脆弱性診断の課題を解決できるのが「Webアプリケーション脆弱性診断エクスプレス」
- Webアプリケーション脆弱性診断エクスプレスは、人とAIが連携することで、Webサイト全体の診断報告を最短10営業日で実施可能であるとともに、料金体系もシンプルになっている
- 実際に大規模サイトの脆弱性診断では、9,000ページの診断を1週間程度で完了させた実績がある
Webアプリの脆弱性診断は、最短5営業日でお見積、Webサイト全体を対象に診断でき、最短10営業日で報告書を提出できるWebアプリケーション脆弱性診断エクスプレスのご検討をお勧めします。
