ホーム > ニッポンを守る技術 > WEBアプリケーション診断とは?
 

WEBアプリケーション診断とは?

WEBアプリケーション診断とは、WEBサイトなどに隠れているセキュリティ上の欠陥を診断・検出するサービスです。ハッカー(攻撃者)の視点からセキュリティの穴(≒欠陥)を見つけて修復しておくことで、本当の犯罪者から攻撃が来たときに、被害を防ぐことが目的です。

セカンドオピニオンとして、2つの重要なポイントをお伝えします。

WEBアプリケーション診断、ホームページ診断を行っている会社様・エンジニア様はたくさんいらっしゃいます。ここで重要なのは、
 

1, 診断ツールを使った診断では、検知できない脆弱性が山ほどある ⇒ しないよりマシ

例えれば、95%のウイルスを防げる(自社調べ)と言ってウイルス対策ソフトを宣伝している会社のウイルス対策ソフトを利用しても、実際には、既存の攻撃の10%前後しか防げないようなイメージです。範囲を限定していけば、95%防げるというのは事実なのかもしれませんが、犯罪者目線で考えた場合、殆ど役に立たないセキュリティとなります。強いて言えば、しないよりマシ、物理空間で言えば、玄関ドアを横穴式の二重ロックにするくらいの話であり、それではもちろん、本当のプロは侵入します。
 
 

2, エンジニアの技術・経験レベルによって、診断結果に雲泥の差が出る ⇒ どんな敵を想定するか

こちらも、例えれば、同じ内科医でも、ある内科医では発見できない病気も、ある内科医だと発見できるというイメージです。あるエンジニアで脆弱性をすべて取り除いて安心していても、いざ攻撃がきてみると、簡単に侵入された・・・とならないようにしなければなりません。エンジニアAさんが診断を行った場合、エンジニアAさんの技術以上の攻撃は防げません。どんなレベルのハッカー(個人、犯罪組織、テロ国家)を想定するかが重要です。
 

※ グーグルなどの最先端のIT企業の場合、随時、世界中のごく一般のエンジニア(ハッカー)に自社(グーグル)のシステムに潜む脆弱性を発見させ、その発見者に対して、見つけた脆弱性のレベルに応じた報奨金を支払うことで、セキュリティの偏りを防ぎ、高いレベルを維持しています。万一が起きたときの被害が大きいために、それは必然的と言えるのかもしれません。

 
これが2つの重要なポイントです。
 
各セキュリティ企業は、この1と2に関して、公言を差し控えているケースが多いため、セカンドオピニオンとして敢えて言わせていただきます。

WEBアプリケーション診断をお考えの理由は何ですか?

セキュリティを行う場合、方向性がとても大事です。方向性は大きく分けて2つです。
 

1, 見せる(言い訳)セキュリティ=うわべ診断

例えば、万一侵入されて100万人の会員情報が洩れてしまったとき、「弊社では、国内ナンバー1のセキュリティ会社を利用して、万全の安全対策を行っていました」と言い訳をしたい場合には、見せるセキュリティにふさわしい対策方法があります。その方法とは、世界基準(※)になっているような項目を全て診断し、それらの項目をすべてクリアしていた、という分厚い報告書を準備しておくセキュリティです。このセキュリティの弱点は、世界で基準になっているような診断項目、言い換えると、過去の攻撃報告を基に作られた診断項目を念頭に置くため、新しい攻撃やレベルの高いハッカーから攻撃を受けると意味がなくなってしまうところです。
 

※世界基準で診断を行っても侵入は防げない例として、個人のPCで考えた場合、世界各社の最新のセキュリティソフトをインストールしていても、防げない攻撃はごまんとあることが挙げられます。高いレベルのハッカーは、過去に報告されていない新しい手法、組み合わせた手法で、より深い思考を行い、侵入するからです。

 

2, 侵入させないセキュリティ=最深診断

例えば、テロリストのビルへの侵入を防ぐ際、空からの侵入、地下からの侵入、サイバー空間からの侵入、真正面からの侵入など、視点によって対策も専門家も異なります。そしてすべてを総括的に見れるセキュリティのリーダーが必要です。犯罪者は、弱い場所を探し、複合的・立体的に利用してくるからです。サイバーセキュリティも同様です。侵入させない目的でWEBアプリケーション診断を行うのであれば、組織内のその他の弱点も同時に診断しておき、それで初めてWEBアプリケーション診断を行う意味が高くなります。
 
弊社イーライトは、複合的に深い診断を行う、侵入させないセキュリティが専門です。どの方向性が正しい、正しくないではなく、各組織の目的と予算、そして何より、万一攻撃を受けた場合の損害額を考慮したセキュリティを施すべきかと考えております。

サイバーテロ、犯罪組織、国家ぐるみの大規模攻撃を想定

弊社イーライトは、ペンテストやフォレンジック捜査において、世界一の技術を目指して活動しています。WEBアプリケーション診断に関しましても、日本の情報セキュリティ企業では、なかなか実施できない、世界レベルの深い攻撃が来た場合を想定して診断します。なぜなら、もし、そうなったときに、世界の基準になっている項目のうわべを診断(※上記)していただけでは、難なく突破されてしまうからです。過去の攻撃報告を基に作られた基準を満たしていても、エリートハッカー組織の手にかかれば意味がないと考えているのがイーライトです。
 
弊社を必要としていただけるお客様は、大半の場合、大企業様か会員顧客情報を100万人単位でお持ちのお客様です。もし、1万分の1の確率でも攻撃を受け、侵入され、情報を盗まれてしまうと、被害額も信用の失墜も、大きすぎて計り知れないというようなお客様です。したがって、サイバーテロ、サイバー戦争、犯罪組織から国家システムを守っていた経験を活かし、最新・最大・最深レベルの攻撃を実演し、複合的に診断を行うのが、弊社イーライトの診断基準です。
 
日本への攻撃は、予断を許さない状況です。 
攻撃事例はこちら

どんな診断を行うの? 診断項目の例

下記から、弊社イーライトが行うWEBアプリケーション診断の項目例PDFをダウンロードいただけます。こちらは、OWASPを参考に書き出されたものです。弊社が実際に行うWEBアプリ診断は、自社制のカスタマイズツールと職人による手作業も併用し、最深の診断結果をお約束いたします。
 
ダウンロード : WEBアプリケーション診断項目の例PDF

料金

お見積りを開始されたい方へ 
 (今の状況とご要望をお聞きし、お見積りをスタートします)

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。