WEBアプリケーション診断とは？

近年、クレジットカード情報や企業の顧客リスト、サービス開発や製品開発に関する機密情報などが漏えいする事故が後を絶ちません。情報漏洩事故の原因となり得るのが、Webサイトを構成するアプリケーションの脆弱性や運用管理の不備です。

攻撃者とWEBサイト側はそれぞれが進化を続けており、完全防御は難しいのですが、既知の脆弱性や運用上の不備は最低限対応しておきたいものです。

こうようなニーズにマッチする診断サービスが「Webアプリケーション診断」です。WEBアプリケーション診断を実施することで対策すべき課題がはっきりします。

それでは、Webアプリケーション診断の意義とその効果を見ていきましょう。

IPA（情報処理推進機構）とJPCERTコーディネーションセンターでは、「ソフトウェア等の脆弱性関連情報に関する届出状況」を定期的に発表しています。直近（2020年第1四半期）の脆弱性の報告件数を見ると、ソフトウェア製品が62件なのに対して、WEBサイト（WEBアプリケーション）は201件に上ります。およそ7割がWEBアプリケーションの脆弱性であることがわかります。

出典：「ソフトウェア等の脆弱性関連情報に関する届出状況」（IPA・JPCERT/CC）

セキュリティ診断サービスを実施しているある企業の調査では、一定期間に診断したWEBサイトの85％以上は何らかの脆弱性を抱えていました。脆弱性の重大度には大小ありますが、大多数のWEBサイトでは何らかの対策が必要だと考えられます。

しかし、闇雲にセキュリティ製品を導入することは得策ではありません。まずは、自社サイトのセキュリティはどうなっているのか、実態を把握することが大切です。

ここで有効なソリューションが、WEBアプリケーション診断です。診断事業者によって内容は異なりますが、概ね、Webサイトに内在する問題を顕在化して、レポートを基に適切な改修方法をアドバイスしてくれます。診断サービスを活用することによって、短期間で、自社サイトのセキュリティホールを認識できます。

WEBサイトのシステム構成は、プラットフォーム*とアプリケーションの2層構造になっています。脆弱性の種類が多く危険度も高いのは後者です。企業の公式サイトやショッピング、会員向けサイトなどのサービスには、会員登録、検索、電子決済など、目的に応じた各種プログラムが実装されています。

プラットフォーム*は、脆弱性が発見されればパッチの公開が迅速に行なわれるため、比較的早く対処することができますが、オーダーメイドで開発されることの多いアプリケーションでは同じようにはいきません。開発者や運営側がリリース前あるいは運用中に継続的に診断、対策をしていく必要があります。

WEBサイトから多くの脆弱性が見つかっている現状は、冒頭のレポートでも触れた通りです。脆弱性の一般的な定義は、“プログラムの不具合や設計上のミスが原因で発生した情報セキュリティ上の欠陥”（「国民のための情報セキュリティサイト：総務省」から抜粋）ですが、この記事では少し広くとらえ、“攻撃者が悪用すると開発者が意図しない動作をする状態”も含めます。

※ プラットフォームとは
ネットワークやサーバー機器、サーバ機器に搭載されるOSやミドルウエアの総称でアプリケーションを動作させる基盤という意味でプラットフォームと呼ばれています

WEBアプリケーションは、多くの場合、事業会社のITシステム部門や事業会社から委託を受けたSIerが開発します。脆弱性ができる主な要因は、開発コストや期間の制約、要件定義の曖昧さ、そして開発側のスキル不足など多岐に渡ります。

攻撃者は様々な手段で脆弱性を探り出し、攻撃を仕掛けてきます。WEBアプリケーションに限った話ではありませんが、予算と時間、開発スキルなどプロジェクトリソースが不足している状況では、あらゆる攻撃を想定してテストを繰り返すことは不可能です。WEBアプリケーションから脆弱性が無くなることはないという前提のもと、対策を進めるべきでしょう。

続いてWEBアプリケーション診断のチェック項目を見ていきましょう。テスト内容は多岐にわたり、診断事業者によってサービス内容は異なりますが、概ね以下に示す項目を実施しているようです。

• 入出力管理
• 認証管理
• セッション管理
• 設定／運用

入出力管理

WEBサイトが被害を受ける要因として最も多いのが、SQLインジェクションやクロスサイトスクリプティング（XSS）など、Webアプリケーションとそのバックエンドのシステムに対する不正な入出力を起点とする攻撃です。SQL（データベースのコマンド）の不正操作による情報漏洩につながる脆弱性、不正なスクリプトが動作する環境の有無などを検証します。

（参考）Webサイトの脆弱性の種類別の届出状況
出典：「ソフトウェア等の脆弱性関連情報に関する届出状況」（IPA・JPCERT/CC）

認証管理

ユーザー認証機能も標的になりやすい部分です。この診断では、ID、パスワードなどの認証情報を使うログイン機能を精査。例えば、ログインフォームから情報漏洩するリスク、IDの推測やパスワードの総当たり攻撃に対する強度などを診断します。

セッション管理

クライアント～サーバ間の接続状態をソフト上で維持するセッションが不正操作されると、なりすましの被害に結びつきます（セッションハイジャック）。セッションの識別方法は適切か、セッションIDは推測されやすい形式になっていないかなどを精査します。

設定／運用

WEBサイトが攻撃される原因の多くはアプリケーションやプラットフォームの脆弱性ですが、サイトの弱点はここだけではありません。認証を管理するアプリケーションの設定ミス、ファイルの属性指定時の誤操作、意図していない設定やファイルの公開など、運用管理上の問題もあります。管理ミスによるセキュリティホールができていないか、発生しやすい環境か否かも診断項目に含まれます。

WEBアプリケーション診断には、ツールによる自動検査と手動検査の2段階あり、それぞれの特性を生かした検査が行なわれます。

ツール

既知の脆弱性や初歩的な設定ミスの検出に対しては、多くのWEBページを短時間で診断できるツールを利用します。具体的には、商品検索、アンケート、サービス予約などの機能を搭載したWEBアプリケーションに対し、ツールから実際にコマンドや文字列を送ってセキュリティ上の不備を検出します。

手動

ツールは短時間で網羅的に検査できますが、全ての脆弱性や人的なミスを発見できるわけではありません。人間が対話型で操作しないと検出できない欠陥もあるため、スキルを備えたサイバーセキュリティの専門家が攻撃者の視点からプログラムの動きを検証します。

サイバーセキュリティの専門家による診断が必要な理由をもう少し補足すると、ツールでの検査は応用問”への対応に限界があるからです。例えば、設定ミスや運用上の不備は、OSやアプリケーションの正規の機能を用いた攻撃に使われるため、ツールがセキュリティ上の問題点として認識できるとは限りません。

例えば、ショッピングサイトでパラメータ改ざんが可能なプロセスが見つかった場合、不正操作が会員のステータスだけでなく、決済履歴にも影響が出るようなことがないかを確認します。ひとつのプログラムの脆弱性が思わぬところに影響が及ぶケースがあるため、様々な可能性を探る検査が必要となるのです。こうした検査にはサイバーセキュリティに関する豊富な知見や経験をもった専門家の存在が欠かせません。

WEBアプリケーション診断は以下の流れで実施されます。

ヒアリング　→　診断　→　解析　→　レポート　→　結果報告・改善提案

ヒアリング

診断サービスを実施する業者がヒアリングを通じてサイトの構成や管理、制約事項について詳細を把握し、調査の対象範囲、診断に用いる手法、診断項目、スケジュール、費用を提示します。

診断

対象サイトに対し、ツールと手動で事前に定義した対象範囲に対して診断項目の検査を実施します。

解析

検出された脆弱性や設定ミスなどを列挙し、リスクを洗い出します。もし緊急性が高い脆弱性が発見された場合は、結果をまとめる前に通知されます。

レポート

洗い出した脆弱性やリスクに重大度や対策方法などをとりまとめ、レポートで作成します。顧客の求める記載内容にオーダーメイドで答えるケースあります。

結果報告

文書によるレポートと報告会を通じて、ユーザー企業に結果を開示します。

現在、多くの国内業者が「WEBアプリケーション診断」のサービスを提供していますが、診断項目、手法（ツールと手動を併用）、フローに大きな違いはありません。

各社の特徴が表れる部分としては、サイバーセキュリティの専門家のスキル、診断範囲、分析レポートのカスタム対応、業態に特化したオプションメニューなどが挙げられます。

WEBアプリケーションの脆弱性を狙うサイバー攻撃は、機密情報の漏えい、閲覧者をマルウェア感染させるサイト改ざん、攻撃の踏み台などの深刻な被害を与えます。損害賠償による金銭的被害や社会的信用失墜に伴う売上減少により、事業継続が困難になる被害企業も少なくありません。

こうした被害を防ぐためにも、WEBアプリケーション診断は“コスト”ではなく、企業活動を維持・成長させるための“投資”と考えてみてはいかがでしょうか。

Spin & Companyでは、Webアプリケーションの脆弱性診断サービスを提供しています。安全なWEBアプリケーションのプロフェッショナル集団としての知見を活かし、お客さまのWEBサイトに最適な脆弱性診断を実施いたします。

WEBアプリケーションのセキュリティ、脆弱性診断については、ぜひSpin & Companyへお問い合わせください。