診断会社が教えます！ 高額なWebセキュリティ診断の費用をお得にする方法とは？

警察庁によると、2022年におこったサイバー攻撃と見られる不審なアクセスは、国内の暫定値で、1日に7707件にも上ったそうです。最近では、JAXA（宇宙航空研究開発機構）もサイバー攻撃を受けていたとか。

おそろしい……サイバー攻撃の脅威はすぐそこじゃないか。対策をしていかないと！

そんなときに出番なのが、Webセキュリティ診断です。

Webセキュリティ診断をすると、こんなことが分かります。

• 設計やプログラムミスによって作られた不具合
• ファームウェアの更新状況
• OSやネットワーク、アプリケーションの設定ミス・漏れ
• アプリケーションの修正プログラムの適用状況
• 不要なサービスの有無
• 不要なユーザーの有無

など。

よし。Webセキュリティ診断をやろう！　と思われた方へ。せっかくなので、ブログ担当の私もちゃじ、せんえつながら「Webセキュリティ診断をお得にする方法」をご紹介します。

Webセキュリティ診断の種類から知りたいよという方は、こちらの記事をどうぞ。

診断をお得にする方法

「お得」いい響きですね。

Webセキュリティ診断の費用は、診断対象範囲や診断方法によって大きく変わります。なので最初にしてほしいのは、自社のセキュリティ対策の現状を把握しておくこと。診断料金を抑えるうんぬんの第一歩はここからです。

診断目的を明確にする

診断目的を明確にすることで、必要な診断範囲や内容を絞り込むことができます。目的が不明瞭だと、必要のない診断項目や、無駄な範囲まで実施してしまうことになり、費用がかさむ可能性があります。

また、診断結果をどのように活用するのかを検討することで、診断の費用対効果を高めることができます。

診断の範囲を適切に設定する

診断範囲を広げれば、より多くの脆弱性を発見できる可能性がありますが、それに伴い費用も高くなってしまいます。そのため、自社のセキュリティの状況やニーズに合わせて、適切な診断範囲を設定することが必要です。

例えば、以下のような判断をすることもできます。

• AWSの認証機能は、提供しているAmazonの責任なので、診断範囲から除外する
• ここから先はShopify側の機能だから、そこはやらない
• 外部ドメインを利用していて、認証がGoogleなどの場合は省く

他の企業が出している製品・サービスの領域のことを、お金を出して診断していくかどうかの判断をする、ということですね。

対象範囲を減らすという観点では、

• インターネットに公開している部分と公開していない部分がある場合、公開している部分だけを診断する
• インターネットに公開していないことを考慮して、重要な箇所だけに絞って診断する

対象範囲を減らせば費用は下がる反面、脆弱性を含む可能性は上がってしまうので、診断範囲や対象数の設定は慎重に考える必要があります。

リクエスト数を減らす

対象のリクエストを減らすという方法もあります。

「リクエスト」は何かというと、「要求」のことです。

例えば、Webサイトを閲覧するとき、ブラウザからWebサーバーに「このページを表示してください」という要求をします。これがリクエスト。Webサーバーが「どうぞ」と要求されたページを返して、ブラウザが受け取ったページを画面に表示します。サーバーが要求に対して応えてくれることを「レスポンス」といって、リクエストとレスポンスはセットで登場します。

リクエストについては、当社のWebセキュリティ診断「ABURIDA」のサービスサイトで提供している資料に分かりやすく書いてありますので、見てみてください。

で、リクエスト。

Webセキュリティ診断では、対象システムにリクエストを送信して脆弱性の有無をチェックするので、リクエスト数が多いほど、診断にかかる時間と費用は高くなります。

同じURLはどれか一つにする

重複しているURLは一つに絞って、それ以外は診断対象から削る方法。同じURLに複数のリクエストを送信しても、同じ脆弱性を検出することになるからです。

例えばWebサイトの診断をする場合、全てのページに対してリクエストを送信するのではなく、代表的なページのURL一つに絞ることで、リクエスト数を減らすことができます。

GETメソッドでパラメータが存在しないリクエストは削る

GETメソッドで送られてくるリクエストでパラメータが存在しないリクエストは、脆弱性が存在する可能性が低いリクエストと考えられるので削る方法。

「GET（GETメソッド）」とは、HTTPリクエストの一種です。基本的にWebサーバーから情報を取り出す（GET）ために使用されます。

例えば、画面はいっぱいあるけど、その画面は表示するだけで更新もなく、参照しかしていない場合、削るだけでリクエスト数がグッと減ります。

共通処理をしているものはどれか一つに絞る

開発者判断にはなるんですが、アプリ内で共通処理をしているものは、URLをどれか一つに絞る方法もあります。

クライアント側でURLが異なると、別リクエストとして扱われます。

例えばURL「/login」はログイン機能を指し、URL「/register」はユーザー登録機能を指します。これらのURLは、それぞれ別のリクエストとして扱われます。

一方で、サーバー側で同じような処理をしている場合は、URLをどれか一つに絞ることでリクエスト数を減らすことができます。

例えば、

・管理者のプロフィール編集画面のリクエスト /profile?name=先輩

・通常ユーザーのプロフィール編集画面のリクエスト /profile?name=もちゃじ

の場合、管理者と通常ユーザーのプロフィール編集処理が同じ内容であれば、どちらか一つのURLを診断する方法です。

二つのURLにアクセスする必要がなくなり、リクエスト数を一つ減らすことができます。

ただし、この方法では、共通処理の中に脆弱性が潜んでいる可能性があるので、もし脆弱性が見つかった場合は、横展開して調査する必要があります。

報告書には不具合が発生する方法まで書かれてあるので、同様の手法で脆弱性を検出できると考えられます。

リモート診断にする

オンサイト診断では、出張費や診断員の労務費などの追加費用がかかってしまうので、クラウドに診断環境を構築、リモート診断に移行。

金額にして、2〜3割のコスト削減が見込める可能性があります。

まとめて診断してしまう

全体の金額は上がってしまうけど、1リクエスト単位の単価はちょっとずつ下がるので、まとめて診断してしまうのも手です。

診断会社にもよりますが、ボリュームが増えればディスカウントがある場合もあります。

診断環境を占有させてもらう

Webセキュリティ診断では、対象システムにリクエストを送信して、脆弱性の有無をチェックしていきます。この診断環境を占有させてもらうと、診断にかかる時間を短縮でき、診断の効率化や品質向上を図れ、コスパよく診断できます。

具体的な方法は以下のとおりです。

サイトの更新やデータのアップデートはしないでもらう

Webセキュリティ診断では、対象システムの現状を把握することが重要です。そのため、サイトの更新やデータのアップデートを行うと、脆弱性が正しく検出されない可能性があるんです。診断期間中は、これらの作業をしないことをおすすめします。

サーバーは、本番環境とテスト環境を別立てにする

本番環境とテスト環境が同じサーバーで運用されていると、開発中やテスト中の作業が診断結果に影響する可能性があります。

診断では、データの更新や削除をしながら脆弱性の有無を見つけていくので、データの更新や削除ができる環境のほうがいいんです。

本番環境がおすすめできない理由

• 夜中しか診断できないなど診断のタイミングが限られる
• データの更新や削除ができないので、脆弱性が見つかる可能性が低くなる

反対にテスト環境だと、更新・削除ができるようになるのと、診断できる項目も桁違いに増えるので、脆弱性が見つかる可能性が上がります。本番環境とテスト環境は別立てにするのをおすすめします。

診断用の環境を用意してもらう

受け入れテストをやる環境だと、「このデータは壊さないでください」と言われることもあるあるです。本番環境と同じような制限があるので、正しく診断できない可能性がでてきます。

がっつり診断したいのであれば、診断だけの環境を用意して、そこで診断だけをするとコスパが良いといえますね。

効果的な診断にするなら

以下に、当社のWebセキュリティ診断「ABURIDA」の診断員に聞いた、効果的な診断にするためのtipsを紹介します。

WAF、ファイアウォール、IP除外は解除しておく

診断では疑似的な攻撃をしていきます。WAF、ファイアウォール、IP除外が設定されていると、それらが攻撃をブロックしちゃって、アプリケーション本体の診断ができなくなってしまうんです。なので、これらは解除しておこう。

• WAF：Webアプリケーションファイアウォールの略で、Webアプリケーションを悪意ある攻撃から守ってくれる機能
• ファイアウォール：ネットワークの境界に設置して、不正なアクセスを検知して遮断。ネットワークを守ってくれる
• IP除外：特定のIPアドレスからのアクセスを許可または拒否する設定

解除しておかないと、WAFやファイアウォールが働いて攻撃を遮断してしまうため、攻撃パターンを検知できなくなります。解除しておこう。

IP除外をしていると、悪い人が使うIPアドレスからのアクセスを遮断してしまうので、解除して、診断元となるIPアドレスの範囲を広げておこう。

サーバーのスペックを高くしておく

繰り返しになりますが、Webセキュリティ診断では、対象システムに大量のリクエストを送信して脆弱性を検出します。

レスポンスの時間を計測して脆弱性を判定することがあるので、レスポンスが遅いと、その計測ができなくなってしまいます。

スペックは高くしておこう。サーバーが落ちることもなくなるし。

メール設定をONにしておく

メールに関係する脆弱性もあるので、メール機能はONに設定しておこう。

データは一通り入れておこう

対象システムに実在のデータが入っている状態で診断をすると、より正確な結果を得られます。そのため、データは一通りいれておこう。

その他

「プログラム言語の種類やソフトウェアの情報、データベースの種類、OSの種類などを事前に教えていただくと、それらに特有の脆弱性を重点的に確認することができます。いざというときにチェックがしやすくなるので、ぜひご協力ください（その情報がなかったとしても、漏れなく確認するんですけどね）」とは、当社のWebセキュリティ診断サービス「ABURIDA」診断員の言葉です。

診断後に備えて、ローカルプロキシツールを準備しておこう

ローカルプロキシツールは、パソコンにインストールしてインターネットに接続する前に、ブラウザの通信を代理で中継するローカルプロキシを設定したり、操作したりするためのアプリケーションのことです。

平たくいうと、ローカルプロキシツールがあれば、こちらの意図した通りにリクエストやレスポンスがされているかのチェックができるんです。

診断結果は報告書にまとめますが、脆弱性が検出されたときに、ローカルプロキシツールがあると正確に再現、理解できるので、ローカルプロキシツール、使えるようにインストールして準備しておこう。

ローカルプロキシツールについて、詳しくはこちらの記事をご覧ください。

まとめ

Webセキュリティ診断は、自社のセキュリティ対策の現状を把握し、改善につなげるためには欠かせないものです。せっかくWebセキュリティ診断をするなら、お得かつ効果的に診断したいもの。

そのためには、

• 診断目的と範囲を適切に設定することで、診断の効率化と効果の向上を図る
• リクエスト数を減らすことで、診断にかかる時間とコストを短縮する
• 診断環境を占有することで、コスパよく診断できるようにする

といった点を抑えておくことで、お得で効果的に診断できるようになります。

Webセキュリティ診断を検討されている方へ、当社のハイブリッドWebセキュリティ診断「ABURIDA」もおすすめであることをそっとお伝えしておきます。

ふう、書き終えた

Webセキュリティ診断って、ある意味投資だよなぁ。投資、大事だよなぁ。と思いつつAmazonブラックフライデーでポチるなどした。

ライター／もちゃじ

IT業界に縁なく秘書畑をさすらい、前職はインドで社長秘書。ほぼ日本語とパッションのみで乗り切ったずうずうしさはスキルの一つか。完全なインドア派ながらたまにふらりと旅に出る。行き場のない母性を持て余し、友人の犬を溺愛するもほえられる。体が硬く、インドでヨガティーチャーに笑われたことに深く傷つく一面も。

ITド素人の私がWebセキュリティについて学び、レベルアップしていく（予定です）様子をお届けします。学びを発信することで、少しでもWebセキュリティに関する「難しそう」というイメージが下がり、苦手意識のある方たちに届いたらうれしいです。