経済産業省「情報セキュリティサービス基準」適合
経済産業省では、情報セキュリティサービスについて、一定の品質の維持・向上に努めていることを第三者が客観的に判断し明らかにするための基準として、情報セキュリティサービス基準を設けて公表しています。
サイバートラストの脆弱性診断サービスは、この「情報セキュリティサービス基準」に準拠し、認定登録されています。
※ Webアプリケーション診断は、当社子会社であるサイバートラスト社のサービスをご提供します。
※「情報セキュリティサービス基準」に登録されているサイバートラスト社のサービスは、「Web アプリケーション診断」「ネットワーク診断」となります。
Web アプリケーションの脆弱性とは、Web アプリケーションに内在するプログラム上のバグのことを指します。攻撃者はその脆弱性を突き情報の奪取などの攻撃をします。Web アプリケーションは、お客様のニーズによってさまざまな機能が実装されており、脆弱性が発見される箇所は千差万別です。使用するプログラミング言語も多数あり、 Web アプリケーションの内容も EC サイトやゲームアプリ、SNS、バックオフィスなど多岐にわたります。また、CMS を導入しているか否かなどといったことも考慮しなければなりません。
こうした状況において、一般的な Web アプリケーションの脆弱性として知られる「SQL インジェクション」や「クロスサイトスクリプティング」などはもちろんのこと、 熟練の知識と豊富な経験によって高められた独自技術を活用し、システム停止や情報漏えい、データ改ざん、不正アクセス、認証回避などにつながる脆弱性を徹底的に洗い出します。
脆弱性を放置することは、重要な情報の漏えいなどによって自社が被害者になるだけでなく、他サイト攻撃のための踏み台にされて知らぬ間に加害者になる場合もあります。
Web アプリケーションの脆弱性に対処することは非常に重要なのです。
本診断では、Web サイトにおける、不正アクセスやマルウェアなどの被害を未然に防ぐため、内在する脆弱性を明らかにし、適切な対策方法を提示します。診断対象は、「https」「http」の通信の際にパラメーターを受け渡ししている箇所です。診断手段としては、このパラメーターを正規の値ではなく、攻撃文字列に置き換え、または追加して出力される結果から脆弱性の有無を判断します。
左右にスクロールしてご覧ください。
| 項目 | 内容 |
|---|---|
| 入出力処理に関する調査 | クロスサイトスクリプティング、SQL インジェクション、コマンドインジェクション、フィッシング詐欺サイトへの誘導、パラメーター改ざん など |
| 認証に関する調査 | ログインフォーム、ログインエラーメッセージ、ログイン・個人情報の送受信 など |
| 認可に関する調査 | 権限昇格、権限のない情報へのアクセス など |
| セッション管理に関する調査 | セッション固定、クロスサイトリクエストフォージェリ など |
| 一般的な脆弱性に関する調査 | サンプルプログラムなどのデフォルトコンテンツの有無 など |
診断結果は「診断報告書」として提出します。診断報告書は、経営層向けのエグゼクティブサマリー(5段階の評価ランクを含む)と技術者向けに詳細レポートとして、 確認された脆弱性および対策などを記載し、お客様が改善すべき事項を明確に提示します。
| エグゼクティブサマリー | 診断対象のリスクを一目で把握できるように、5段階評価(A~E)とレーダーチャートによる分析で提示します。 |
|---|---|
| 詳細レポート | 検出された脆弱性の状態やリスク、対策案を提示します。開発者が改修しやすいように再現例と発見箇所について詳しく報告。対策案として、根本的対策と保険的対策の2種類を提示します。 |
確認された脆弱性の影響の度合いについては、下図の通り、「攻撃難易度」と「危険度」の2つの軸による評価を行います。それにより、公開中のシステムにおいて、「危険度が高いがその脆弱性を攻撃することは難しい」場合や、「危険度は低いが容易に攻撃できてしまう」場合などを把握できるため、リスクの高さを相対的に判断することが可能になる、といったメリットがあります。
左右にスクロールしてご覧ください。
| リスク評価基準 | ||||
|---|---|---|---|---|
| リスク評価 マトリクス |
攻撃難易度 | |||
| 易 | 中 | 難 | ||
| 危険度 | 高 | 4:緊急 | 3:高 | 2:中 |
| 中 | 2:中 | 2:中 | 1:低 | |
| 低 | 1:低 | 1:低 | 1:低 | |
| 無 | 0:無 | 0:無 | 0:無 | |
左右にスクロールしてご覧ください。
| 危険度評価基準 | |
|---|---|
| 高 | システムの侵入やページの改ざん、機密情報漏えいにつながる指摘事項 (SQL インジェクション・クロスサイトスクリプティングなど) |
| 中 | システムの停止やシステム設定情報の漏えいにつながる指摘事項 (DoS 攻撃・設定パラメーターの漏えいなど) |
| 低 | システムのバナー情報など、直接的にシステムへの侵入につながらない指摘事項 (サーバーサービスのバージョン取得・不要なオープンポートなど) |
左右にスクロールしてご覧ください。
| 攻撃難易度評価基準 | |
|---|---|
| 高 | 簡単に手に入るツールなどによって、用意に攻撃を行うことが可能 |
| 中 | 特定の条件をクリアすることによって攻撃を行うことが可能 |
| 低 | 攻撃を行うためには非常に複雑な条件をクリアする必要がある |
脆弱性診断の流れは、大きく4つの段階に分かれます。
