Webアプリケーション診断

サイバー攻撃から企業を守るために行われるセキュリティ対策。その中でも、攻撃者の視点による類似攻撃を行った脆弱性をチェックするのがWebアプリケーション診断です。ここでは、Webアプリケーション診断の概要や必要性について紹介します。

Webアプリケーション診断とは

Webアプリケーションとは、自社のホームページやECサイトなどのWebサイト、業務アプリケーションなどのWebで動くアプリケーションを意味します。

Webアプリケーション診断は、Webアプリケーションに存在する脆弱性の有無や程度をチェックするものであり、得られた結果に応じてセキュリティ上の問題を把握し、対策を講じることを目的とします。

Webアプリケーション診断を主な実施方法の観点でみると次のように分けられます。

• 診断員が手動で行う手動診断
• ツールを使って診断するツール診断

また、Webアプリケーション診断を実施場所の観点でみると次のように分けられます。

• インターネット経由で実施するリモート診断
• 現地で診断するオンサイト診断

Webアプリケーション診断の必要性

クレジットカード情報や顧客リストなどの情報漏えい被害が度々報じられています。 この情報漏えいの原因の一つとして、Webアプリケーションの脆弱性が挙げられます。

Webアプリケーションを開発する際、脆弱性対策を考慮して設計やコーディングなどを行うことが求められます。しかし、実際の開発現場では、人員や納期などが制限されているため、脆弱性対策を考慮した開発が難しい場合が多いです。

また、Webアプリケーションの構成がWebサイトごとに異なることも、開発者による脆弱性の検出を難しくしています。 さらに、Webアプリケーションに対して新たな攻撃手法が発見され、攻撃手法は日々、多様化しています。

このような状況のため、外部の専門家によるWebアプリケーション診断が必要なのです。

Webアプリケーションの危険性

WebアプリケーションはOSやサーバーソフトなどのプラットフォームと比較して情報漏洩リスクが高い傾向にあります。Webアプリケーションはオーダーメイドで開発されることも多く、プラットフォームと比較したときに脆弱性が発見された際の情報共有・パッチ公開が十分に行われているとは言えません。

また、Webアプリケーションは便利な一方で、開発過程で脆弱性が生じやすい傾向にあります。Webアプリケーションに対する攻撃の種類を挙げてみましょう。

• SQLインジェクション攻撃
• クロスサイトスクリプティング攻撃
• DoS/DDoS攻撃
• OSコマンドインジェクション攻撃
• LDAPインジェクション攻撃
• ブルートフォースアタック
• ディレクトリ・トラバーサル攻撃
• ゼロデイ攻撃
• ドライブバイダウンロード攻撃

Webアプリケーションの脆弱性がなくならないのはなぜ？

Webアプリケーションは開発コストや期間が制限されていること、開発側のスキルが不足していることが原因で脆弱性がなくならないと考えられています。また、システムに落とし込む際の認識のずれも脆弱性を生み出す要因となっているでしょう。

攻撃者は脆弱性をあらゆる手段で探し出します。あらゆる攻撃に対応するための時間やスキルが企業側、開発側に不足していることも、脆弱性がなくならない理由として考えることができるため、脆弱性はあるものをして対策することが求められます。

Webアプリケーション診断がおすすめ

Webアプリケーション診断は、Webサイトの脆弱性診断を行ったことがないサイト、リリース前のサイト、ECサイトや個人情報を扱うサイトなどを運営している企業におすすめです。

攻撃手法は日々多様化しているため、前回のWebアプリケーション診断から1年以上経過している場合も、再度Webアプリケーション診断を実施するよう検討しましょう。