ウェブアプリケーション脆弱性診断

セキュリティ > 情報セキュリティ・サイバーセキュリティ > ウェブアプリケーション脆弱性診断

ウェブアプリケーション脆弱性診断（ウェブアプリケーションぜいじゃくせいしんだん）もしくはウェブアプリケーションセキュリティ検査（ウェブアプリケーションセキュリティけんさ）とは、ウェブアプリケーションのセキュリティ上の問題点を洗い出す検査で、ウェブアプリケーションに文字列を送信したり、ページ遷移を確認したり、ログ解析したりするなど、ウェブアプリケーションに特化した検査^[1]。何らかのツールやサービスを用いて主に開発時のテスト工程と運用時に行われる^[1]。実装時に作り込んだ脆弱性は発見できるものの、設計段階で入り込んだ脆弱性を発見するのは難しい^[1]。

なお、一般的なウェブサイトはウェブアプリケーションのみならず、OS、Webサーバ、データベース等様々な要素からなっている為、ウェブアプリケーション脆弱性診断とは別に、これらの要素の脆弱性を診断するプラットフォーム脆弱性診断を行う必要がある^[2]。

ウェブアプリケーション脆弱性診断やプラットフォーム脆弱性診断のサービスはリモート診断とオンサイト診断とに分かれる。リモート診断がインターネット経由で遠隔地から顧客のウェブアプリケーションを診断を行うのに対し、オンサイト診断は顧客のネットワーク環境がある場所まで赴き、顧客ネットワークに診断用のマシンを直接接続するなどして診断を行う^[3]。リモート診断がウェブサイトを訪れるユーザと同じ条件下で診断を行うのに対し、オンサイト診断はファイアウォールの内側から診断する事により詳細な情報を取るなどできるが、現地に赴く分料金が高くなる場合がある。

診断の流れ

ウェブアプリケーション脆弱性診断は次のような流れで行う^[4]：


フェーズ		内容
診断前の準備		診断対象の選定・確認・優先順位付け^[4]^[5]、実施内容説明^[5]、見積もり^[4]、ヒャリング^[4]、作業に必要なアカウントや権限等の環境の準備^[5]、（オンサイトの場合）診断対象のネットワークへの接続方法や作業場所の準備^[5]
診断	テストケース作成	診断対象のURL・機能・パラメータ等と、診断の優先順位・画面遷移順序等を記述したテストケースを作成^[6]。
	診断実施	自動診断・手動診断の実施^[6]
	診断結果の検証	自動診断結果・手動診断結果が正しいか否かを手作業で検証（手動診断は診断実施過程中に検証も行う）^[6]^[7]
	レポート作成	自動診断ツールのレポート出力機能を利用しながら、リスク評価を行い、手動診断結果も踏まえたレポートを作成^[6]^[8]
診断実施後のアフターサービス		報告会、問い合わせ対応、再診断^[4]

診断の種類

IPAによるとウェブアプリケーションセキュリティ検査ツールは以下の3タイプに分けられる^[9]。

自動検査型: 検査ツールがウェブクライアントとして動作し、検査用コードの入ったリクエストをウェブサイトに自動送信し、ウェブサイトからのレスポンスを元に検査実施者にレポートを出力する^[9]。このタイプのものはツールに予め用意されている量の検査用コードを試自動で試せるのが利点であるが、人力に頼る「手動検査型」ほど細かな検査はできない^[9]。
手動検査型: ブラウザとウェブサイトの間のプロキシとして動作するもので、検査実施者がブラウザでウェブサイトにアクセスした際に発生するリクエストをプロセスである検査ツールが補足し、取得したリクエストの一部を検査実施者が手動で検査用のコードを埋め込む形で書き換え、書き換えたリクエストをウェブサイトに送信してその反応をみる事で脆弱性検査を行う^[9]。
通信監視型: 検査ツールは検査実施者が操作するブラウザとウェブサイトとの通信を（書き換えずに）補足し、補足した情報から不審な動作等を探して検査実施者にレポートとして出力する^[9]。自動検査型や手動検査型と違い検査用コードをウェブサイトに送りつける事がないので、詳細な検査はできないが、その分検査によりウェブサイトに障害が発生する可能性が格段に低いという利点がある^[9]。

脚注

[脚注の使い方]

^ ^a ^b ^c 情報処理推進機構 2015, pp. 13–14.
^ 上野宣 2016, pp. 4–6.
^ 上野宣 2016, p. 108.
^ ^a ^b ^c ^d ^e 上野宣 2016, p. 102.
^ ^a ^b ^c ^d 上野宣 2016, p. 104.
^ ^a ^b ^c ^d 上野宣 2016, pp. 110–111.
^ 上野宣 2016, pp. 117–118.
^ 上野宣 2016, p. 119.
^ ^a ^b ^c ^d ^e ^f 情報処理推進機構 2013b, pp. 9–10.

参考文献

上野宣『Webセキュリティ担当者のための脆弱性診断スタートガイド上野宣が教える情報漏えいを防ぐ技術』（kindle版）翔泳社、2016年8月2日。ASIN B01J9E0HCI。ISBN 978-4798145624。
“脆弱性対策の効果的な進め方（実践編）〜脆弱性情報の早期把握、収集、活用のスヽメ〜” (PDF). 情報処理推進機構 (2015年3月31日). 2018年10月16日閲覧。
“脆弱性検査と脆弱性対策に関するレポート〜組織で提供するソフトウェアの検査と組織内のシステムの点検のための脆弱性検査を〜” (PDF). 情報処理推進機構 (2013年8月8日). 2018年10月18日閲覧。
“IPAテクニカルウォッチ「ウェブサイトにおける脆弱性検査手法（ウェブアプリケーション検査編）」〜3種のオープンソースの脆弱性検査ツールを操作性、検査制度等で比較したレポート〜” (PDF). 情報処理推進機構 (2013年12月12日). 2018年10月26日閲覧。

外部リンク

“脆弱性診断士スキルマッププロジェクト”. OWASP Japan. 2018年12月3日閲覧。
OWASP Japan セキュリティ要件定義書ワーキンググループ. “Webシステム／Webアプリケーションセキュリティ要件書”. GitHub. 2018年12月3日閲覧。
“安全なウェブサイトの作り方”. 情報処理推進機構. 2018年12月3日閲覧。

この項目は、コンピュータネットワークに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJコンピュータ）。

[FOOTNOTE情報処理推進機構201513–14-1] 情報処理推進機構 2015, pp. 13–14.

[FOOTNOTE上野宣20164–6-2] 上野宣 2016, pp. 4–6.

[FOOTNOTE上野宣2016108-3] 上野宣 2016, p. 108.

[FOOTNOTE上野宣2016102-4] 上野宣 2016, p. 102.

[FOOTNOTE上野宣2016104-5] 上野宣 2016, p. 104.

[FOOTNOTE上野宣2016110–111-6] 上野宣 2016, pp. 110–111.

[FOOTNOTE上野宣2016117–118-7] 上野宣 2016, pp. 117–118.

[FOOTNOTE上野宣2016119-8] 上野宣 2016, p. 119.

[FOOTNOTE情報処理推進機構2013b9–10-9] ^ ^a ^b ^c ^d ^e ^f 情報処理推進機構 2013b, pp. 9–10.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

診断の流れ

診断の種類

脚注

参考文献

関連項目

外部リンク