定期的なWebアプリケーションの脆弱性診断は必要?不要? 理由を知って正しく理解しよう!
定期診断についてお客さまからも問い合わせをいただくことが増えています。「ECサイト構築・運用セキュリティガイドライン」が公開されたというのも、大きく影響しているのではないでしょうか。
また、お客さまとお話をさせていただくと
- 脆弱性診断は一度やるだけで大丈夫だと思っていた!
- 脆弱性診断にそもそも意味があるのかよく分かっていない……
などというお声もお聞きする機会も多くあります。
このブログでは、ECサイトを含むWebアプリケーションにおける定期診断について、診断員にも監修してもらい、深掘りしていきたいと思います。
詰まるところ、定期的な診断は必要です!
それでは、なぜ定期診断が必要とされるのか、ひも解いていきたいと思います。
未来のことは誰にも分からない! セキュリティはいたちごっこ
Webアプリケーションの脆弱性診断は、大きくアプリケーション診断とプラットフォーム診断に分かれます。どちらの診断も、診断時の状況での脆弱性を洗い出していきます。当然のことながら、診断時には存在しない機能やインフラ環境における変化(新たなセキュリティホールなど)を予測した診断をすることはできません。
「セキュリティはイタチごっこ」と表現されることも多くありますが、まさにその言葉がぴったり。
ご自身のパソコンに更新プログラムをインストールした!という経験はありませんか? 機能拡充の更新プログラムもあれば、「セキュリティ更新プログラム」というかたちで新たに発見されたOSやアプリの脆弱性を修正するためのプログラムが出されることもあります。会社などで「必ず更新するように!」とお触れが出た、なんて経験をされた方も少なくはないのではないでしょうか。
これと同じように、Webアプリケーションも、それらを稼働させているプラットフォームも、一度安全を確認したら以降は大丈夫ということではありません。
Webアプリケーションに脆弱性が紛れ込む可能性とそのリスク
ECサイトやWebアプリケーションを運用していると、機能追加を行ったり、連携している外部アプリに変更があったり、いろいろなことがありますよね。そんな日々の運用の中で、脆弱性は紛れ込んできます。
例えば
- アプリケーションの改修や機能追加によって脆弱性が作り込まれる可能性
- Webアプリケーションに連携している外部アプリに脆弱性が紛れ込む可能性
- サーバーなどのインフラ環境に新たな脆弱性が見つかるケース
など、新たな脆弱性が生まれるリスクは常に存在していて、それらへの対処をしていくことが必要になります。
また、少し重たいお話にもなりますが、脆弱性に関するリスクも知っておく必要もあります。アプリケーションやサーバーなどの環境面に潜む脆弱性をそのままにしてしまうと
- 個人情報の漏洩といった事態も招きかねない
- Webアプリケーションが乗っ取られ、フィッシングサイトへの誘導に使われてしまう
- サイバー攻撃によってWebアプリケーションがダウンしてしまい、多大な損害が出てしまう
などのリスクが生じる可能性があります。
つまり、より安全なWebアプリケーションでサービスや商品を提供していくためには、定期的な診断を行い、適切な対処をしていくことを運用計画にしっかりと盛り込むことが大切ということなんですね!
定期的な脆弱性診断の計画はどんな感じになるの?
私たちABURIDAでも、初回診断のご相談の際に定期診断までご案内させていただく機会も増えています。
あくまでも参考情報となりますが、診断計画をご紹介したいと思います。ポイントは、脆弱性を可能な限り見逃さないために
- リリース前には、アプリ診断、プラットフォーム診断ともに必ず実施
- 機能追加などでアプリケーションに変更があった際には、アプリ診断を実施
- プラットフォーム診断は定期的に実施
という内容を基本にご提案しています。
脆弱性診断にかかる予算はどれくらい?
私たちがご提供しているABURIDAでは、画面数ではなく「リクエスト数」によって費用が決まります。リクエストとは、お使いのブラウザとWebサーバー間での通信のことを指します。診断対象となるリクエストが画面内にない場合もありますし、1画面内に複数の診断対象リクエストが存在することもあります。そのため、私たちは事前見積もりで診断箇所を特定して、費用を算出させていただきます。
目安となる金額ですが、ABURIDAでは、10リクエストまで44万円(税込み)、50リクエストまで140万8000円(税込み)でご案内させていただいています。詳しくはサービス内容と料金をご覧ください。
一般的なECサイトですと、1回の診断で最低でも50リクエスト前後が多いのが現状です。
脆弱性診断の費用を高いとみるか、妥当とみるか……
費用感に対する反応は、お客さまによってさまざまです。そもそも脆弱性診断が高いと感じる方や、複数社の見積金額にばらつきがあることへの疑問をお持ちになる方もおられます。
そんなときにお話しする一つ目が、被害に遭ったときのこと。
重たい話にはなりますが、IPAから出されている「ECサイト構築・運用セキュリティガイドライン」には
- ECサイトの閉鎖期間における売上高の平均損失額:1社あたり約5700万円
- 事故対応費用の平均額:1社あたり約2400万円
という調査結果が掲載されています。
セキュリティ被害に遭うと売り上げだけではなく、企業やサービスへの信頼の失墜にもつながることは想像に難くありません。また、直接的に被害に遭わなかったとしても、他社への攻撃の踏み台にされるというかたちで、間接的に攻撃者になってしまうといった被害に遭う可能性もぜひ知っておいていただきたい点です。こういった金額を目の当たりにすると、セキュリティ対策の重要性が明らかです。多額の損害を被る前に、しっかりと対策しておくことが大切になりますね。
二つ目として、脆弱性診断のやり方によっても金額が変わること。
一言に脆弱性診断といっても、ツールでの診断のみのもの、ABURIDAのようにツールと人手で行うもの、全て人手で行うものといった方法があります。当然のことながら、ツールをかけるだけの診断は安価に収まる傾向にあります。
しかし、ツール診断で注意をしておかなければいけない点として
- 診断結果は精査がされていないことが多数
→ 誤報を含め、アプリの特性を鑑みた結果精査は実施されておらず、開発者による結果の精査が必要となる
→ 結果の精査において精度をかくと、無駄な改修に時間と費用を費やす恐れもある - 人手によってしか見つけられない脆弱性も存在する
などという点が挙げられます
Webアプリケーションの特性や状況(リリース前なのか、すでに網羅的な診断を受けた後なのか……)、開発運用体制などによって、選択すべきサービスも変わってきます。診断をしても改修・再確認までのサイクルをしっかりと回すことができなければ意味はありません。
サイバー攻撃はますます巧妙化し激化している中、取りあえずツールをかけておけば良いのでは?という選択はおすすめできません。
悲しいことですが、「売り上げUP施策には積極的な投資はするけれど、防御対策へは消極的」という考え方は変えていかなければならない時代になっているのではないでしょうか……
脆弱性診断に加えて、講じることができる手段はないの?
脆弱性診断のお話をさせていただくと、診断の合間や改修中に攻撃されるリスクについてお話に挙がることもあります。そんなときにご紹介させていただいているのが、クラウド型WAFの「Scutum」です。
WAF(Web Application Firewall)は、Webアプリケーションに対する攻撃を防ぐ役割を担うものです。そして、WAFで攻撃を防ぐためには、WAF自体のメンテナンスも必要になります。具体的には、シグネチャーと呼ばれるアクセス許可をするか否かのルールにあたる情報の修正などが必要になります。
私たちのご紹介しているクラウド型WAF「Scutum」は、メンテナンスは提供元が実施してくれるので、新たな攻撃パターンなどにも迅速な対応が可能で、導入の手間も最小限などのメリットがございます。詳しくお知りになりたい方は、ぜひお気軽にお問い合わせください。
ただし、WAFを入れているから脆弱性診断が不要かというわけではなく……、WAFだけでは防げない攻撃も存在するんです。脆弱性診断とWAFを併用することによって、より安心安全なWebアプリケーションの運営をおすすめします!
まとめ
いろいろと書いてはきましたが、Webアプリケーションの脆弱性診断は御社のこと、そして、御社のお客さまのことをお守りする大切な手段なんですね。そして、健康診断と同じように、変化を察知するための定期診断も、ものすごく重要だということなんですね!
ご不明な点など、ぜひお気軽にお問い合わせくださいませ。ご相談だけでも大丈夫です! 攻めの経営のために、しっかりとセキュリティに投資ができるよう、精いっぱいサポートさせていただきます!
ライター/ふぁんふぁん
愛犬をめで、楽器と戯れ、おいしいものにかぶりつく日常を送りつつ、信興テクノミストのハイブリッドWebセキュリティ診断「ABURIDA®️」のカスタマーサポートとして縁の下の力持ちになるべく修行中。