セキュリティ診断とは

セキュリティ診断（脆弱性診断）とは

ますます必要になるセキュリティ診断

脆弱性を悪用する攻撃は増加しています。代表的な脆弱性として有名なSQLインジェクションという攻撃手法は、20年以上前に発見されたものです。しかしインターネットで検索をすれば、20年以上前の脆弱性を悪用した情報漏洩がいまだに報道され、被害は後を絶ちません。それどころか毎年毎年、新しい技術が使われ、新しい機能が開発される度、攻撃者というものは脆弱性を悪用した攻撃手法を発見してしまうのです。

様々な会社がインターネットを通してビジネスを拡大させる現代では、自社のサービスがどのような技術のうえで成り立っているのかを理解し、それに合わせた対応が必要になっています。自らが運営するサービスに脆弱性が残っていることに気づけない場合、ユーザーに大きな被害を与えてしまう可能性があるのです。

攻撃の機会とセキュリティ診断

サービス運営とセキュリティ診断

「各OSやミドルウェアのパッチは適用している」そういった方々もいらっしゃると思います。

日々、技術はアップデートされています。過去診断したプログラミング言語のバージョンやフレームワークに、実は脆弱性が発見されていることに気づいていないケースもあります。改めて、自社が持つ開発環境や情報資産を再確認することをおすすめします。

確認して頂いたうえで、脆弱性診断とは、実装や設定の不備を確認するための作業です。「実は設定が適用されていなかった」「古い設定を使用していた」といった原因で、脆弱性を悪用されるケースもあります。

「セキュリティ製品を導入しているので大丈夫」そう思っていらっしゃる方がおりませんか。
過去に、脆弱性があることを理解しつつ、WAFで対処していたとある企業が、WAFの設定ミスで脆弱性を悪用され、情報漏洩した事件もあります。

重大な事故を引き起こす可能性のある脆弱性がセキュリティ診断で発見された場合、できる限り抜本的な対策を行ってください。

「過去に脆弱性診断をした経験があるからもう安心」確かにそう言える可能性はあります。
ただ注意してほしいのは、Webサービスはユーザーの要望や事業状況に応じて機能追加や修正、機能の削除といったことが当たり前に行われています。
新規で開発した機能に脆弱性があったため、セキュリティ事故が起きてしまった。そのような事態を避けるべく、どこまでが対応していて、どこからが対応していないのか、サービス全体でどこまで対策ができているのかを理解しておくことが重要です。

ご相談頂けましたら、弊社でも、事業やサービスのリスク・重要性に合わせて診断の重要度が高い機能や画面のご案内することが可能です。
事業リスクと合わせ、診断範囲を決定することができますので、お気軽にご相談ください。

セキュリティ診断の種類

セキュリティ診断にはいくつか種類があります。大半が、以下の3つに分けられます。

①SaaS型のセキュリティ診断

こちらは基本的に無償のスキャンツールや、自社で保有する特定のシグネチャ(疑似攻撃コード)を診断対象に送るものです。
診断対象のサーバから返ってくる結果から、脆弱性があるかどうかをまとめます。
簡単かつお手軽に実施できるところが強みですが、一方で、複雑な遷移に対応できていないことも多いため、システムによっては実際にどの対象まで診断できているか不明瞭なケースがあります。機能や権限がほどんとなく、複雑な処理が行われないサイトにとってはメリットがあると言えます。全く更新されていないようなSaaS型の診断において、ログイン認証を回避できず、それ以降の遷移は全くチェックしていないといった可能性がありますので、どのようなサービスなのか、きちんと確認する必要があります。

②スキャンツールのみを使用した診断

こちらはBurp SuiteやOWASP ZAPといったツールを用いて診断をするケースが多いのですが、セキュリティ診断に特化しているツールのため、脆弱性を発見するのに有効です。各ツールが持つScan機能で診断対象の一方で、シグネチャ依存のため、誤検知が発生する可能性があります。セキュリティ診断で安い費用の場合、ツール診断だけ行われている可能性がないか、注意が必要です。

③スキャンツールと手動診断の観点を併用した診断
または自社開発のスキャンツールを併用した診断

有償利用のあるBurp Suite や無償で提供されているOWASPだけでなく、セキュリティベンダーの中には自社で開発したアプリケーションを用いて、診断を実施しているような企業もあります。これらのツールを使用した診断では、技術力や報告書のクオリティといった形で品質に差がでてきます。

全てのセキュリティ診断において、注意することがあります。
誤検知や脆弱性の検知漏れが発生する可能性があります。これらはセキュリティ診断がブラックボックステストで実施していることもそうですが、シグネチャへの依存や人間による確認漏れといった形で、診断漏れが起こる可能性があります。セキュリティ診断は一度実施したら終わりではなく、継続的に行うことで、安全性を高めることができます。

また、セキュリティ診断を提供している中には、手動の誤検知精査のことを、手動診断と伝えるケースもあります。各企業が手掛けるサービスに複数のプラン建てがされている際には、どのプランが自社の求めるサービスレベルなのか、きちんと確認をし、把握することが大切です。

セキュリティ診断の価格

サービスの品質やレベルによって価格に変動がでます。

1ドメインというのは、Webサイトを表現する「https://www.poruto-inc.com」赤字の部分です。
1リクエストというのは、Webサイトを表示する際に、ブラウザから発生するサーバへの通信になります。技術的な詳細はHTTPリクエストで検索をしてみてください。
「1リクエストって1画面（1ページ）ってことだよね」そう思われる方もいらっしゃるかもしれませんが、Webサイトの作り方によっては、1画面の中に、その画面を構成するために必要な複数のデータが必要な場合があります。そうなると、1画面の中に複数のリクエストが発生していることになります。見積りの際に1画面と表現している会社では、以下の意図が考えられます。

• 1リクエストを画面という言葉に言い換えている
• 見積りがしやすいように画面数だけを根拠に概算で見積りしている

では、どのように見積りをしているのでしょうか。

セキュリティ診断の見積り

セキュリティ診断のサービスは大きく分けて3種類ありますが、各サービスの違いに基づく見積りと、見積方法に基づく違いがあります。

●ドメイン単位

ドメイン数×スキャン実行数が費用として計算できます。

●画面単位

画面単位で見積りをする場合、診断単位が1画面なのか1リクエストなのか事前に確認をしておくことも重要です。
1リクエスト単位で診断を行う企業の場合、概算での見積りとなるため、実際の診断時に見積りオーバーが発生する可能性があります。当初の見積り費用と現実にかかる費用が大きく乖離する可能性があるため、注意が必要です。
画面単位で見積をする中でも、以下の方法があります。

●サイト画面数だけでの見積り

サイトで表示される画面数*単価で費用を計算できます。機能が複雑なシステムである場合、以下の図式で見積りが行われることもあります。
画面数×機能係数×単価

●画面遷移図からの概算見積り

診断対象が開発前や開発途中であるといった全ての画面が完成していない場合に、処理がわかる遷移フローや全体の画面遷移図から見積りを行うことができます。企業によっては、想定される機能や処理から、1画面で複数処理が見込まれる場合、各画面に合わせて想定リクエストを含めて見積もることがあります。

●サイト巡回での見積り

クローリングという作業により、1通信ごとを確認していきます。クローラーと呼ばれるWebサイトのURLを自動的に取得するツールや階層を確認するツールを使ってクローリングすることも可能ですが、診断対象となりうるリクエストか判別するため、各通信を確認することがあります。ポルトでも、1通信ごと確認し、診断対象リクエストを一覧化しています。

セキュリティ診断の流れと注意点

セキュリティ診断では、事前に診断対象を特定する必要があります。間違っても外部のサイトに攻撃を行わないようにするため、診断対象となるドメインと各URLを事前調査し、提出します。
事前に診断対象のURLを調査することは、前述しているクローリングです。
クローリング完了後、診断開始時期が決定すれば、診断作業開始です。その際、診断実施をする環境は、本番環境と同じように構成された診断用環境で実施します。
本番環境では、診断で発生する疑似攻撃(exploit)が意図せずデータベースの不整合やサーバーダウンといった障害につながる可能性があるためです。セキュリティ診断がシステムにどのような作業を及ぼすか、確実な保証を行うことは難しいため、診断用に検証環境を用意する必要があります。

セキュリティ診断中に対策が早急に求められる緊急度の高い脆弱性が検出された場合、速報としてご報告します。診断作業の手戻りを防ぐため、診断期間が短い場合や特殊な状況では、速報の対応が変わることもあります。速報は、報告書に近い形から脆弱性名と検出URL、該当パラメータ名だけといったシンプルなものまで、事前の合意や状況に応じた粒度で内容をお送りします。

診断完了後は再現確認や証跡確保のため、アクセスを行うことがあります。これは報告書の作成やレビュー時の誤検知精査で使用するためです。社内でレビューされた内容が納品可能と判断されて、報告書をお送りします。報告書の送付期間は診断対象数にもよりますが、1-2週間としている企業が多いです。
報告書が無事検収された後、必要であれば再診断や報告会を実施することが可能です。注意点として、再診断はあくまで検出された脆弱性が改修されているか、事象が再現しないかを確認するもので、再度診断を行うものではありません。

株式会社ポルトのセキュリティ診断・脆弱性診断

株式会社ポルトでは、様々なサービスを作った経験もあり、各自が数百件のセキュリティ診断実績のあるセキュリティの専門家が、各システムの特性を理解したうえで、疑似攻撃を行います。セキュリティ事故を起こさないために、攻撃の起点となるシステムやサービスへ調査行為から疑似攻撃まで行い、攻撃者と同じ観点からセキュリティの安全性を検証することができます。

セキュリティ診断結果は品質管理担当が精査し、外部のお客様や社内でも共有しやすい再現性の高い診断結果をご報告します。そのため、各サービスに沿った具体的な対策や対応方針だけではなく、その後のご相談までスムーズに対応することができます。

診断を担当するのは、金融・決済システム、医療サービス、旅行サイト、人事管理システム、マーケティングオートメーション、スマホゲームといった、多様なアプリケーションのセキュリティを診断してきたメンバーが、業種やサービスの属性に応じた診断手法を駆使し、脆弱性診断を実施します。

開発エンジニアの中で、特に新人エンジニアでしたり、エンジニアではないがサービス運営にかかわる人や経営層が、セキュリティや脆弱性についてよくわからないケースもあります。ポルトでは、そのような方々にもイメージしやすいよう、検出された脆弱性があることで、どのようなことが起きうるのか、その事象をお伝えできるよう、報告書を作成します。

また、推奨する対策が難しい場合やどうしても長期的な対応が必要になった場合、セキュリティ診断したシステムについてであれば、期限を設けることなく、ご相談を受け付けております。可能な限り、皆様のセキュリティコンサルタントとして、厚くご支援します。もちろん、他社で断られた内容や診断手法についても、実現可能な範囲でご相談を承ります。お気軽にお問い合わせください。