メリデメだけが選定基準じゃない! WebアプリケーションやECサイトの脆弱性診断サービスを選ぶときに大切なポイント
一斉にWebアプリケーションやECサイトの脆弱性診断の見積もり依頼をしてみたけど、どのように選定していくのが良いか迷ったり、これまでの経験から脆弱性診断に積極的にはなれなかったりしていませんか。
このブログでは脆弱性診断の方法や各メリットデメリットに加え、プロジェクト体制(人員)を切り口にしたサービス選定の方向性についてまとめてみました。
自分たちに合ったサービス選定をして、ぜひ脆弱性診断を有効に活用してください。
脆弱性(セキュリティ)診断の種類と違いを押さえよう!
このブログにおける「脆弱性診断」は、「Webアプリケーション(ECサイト含む)を対象に外部から脆弱性を診断すること」を指します。他にも環境面に対する診断などもありますので、それはまた別の機会に。
脆弱性診断の種類
この記事では、脆弱性診断の三つの診断方法を取り上げてみます。
- ツールのみの診断
- AIツールによる診断
- ハイブリッド診断(ツールと診断員による手作業の診断の組み合わせ)
このやり方の違いによって価格面も成果物(報告内容など)にも差が生じてきます。 なお、診断員による手作業(手動)の診断のみというのもありますが、多くの場合はツールを併用して実施することが多いため、今回のブログでは取り上げていません。
過去記事では、ハイブリッド診断のことなども詳しく記載しています。ぜひ参考にしてみてください。
各診断方法の特徴を知っておこう!
三つの診断方法の価格面での比較と、メリット/デメリットを整理しておきます。
ツールのみの診断
| 価格面 | 比較的安価な傾向 (ツール自体を自社で導入される場合は、初期費用や運用費用などがかかる場合があります) |
| メリット | ・診断コストが抑えられる ・診断期間が短い |
| デメリット | ・ツールでは検査できない項目がある ・ツールの設定やスキャン精度によって結果に影響が出る場合がある ・誤検知、過検出の可能性がある(診断結果を精査してもらえない場合、自分たちで結果を精査する知識と時間が必要) ・自社内にツールを導入して実施する場合には専門的な知識も必要となり、担当者の教育コストがかかる場合がある |
AIツールによる診断
| 価格面 | 比較的安価な傾向 |
| メリット | ・診断コストが抑えられる ・診断期間が短い ・ツールのみの診断よりも多くの診断項目に対応 ・専門的な知識が不要で操作可能なツールもある。担当者のスキルによる診断精度のバラつきが最小限 |
| デメリット | ・従来のツールと同様に、スキャンができない部分や検査できない項目がある ・誤検知、過検出の可能性がある(診断結果を精査してもらえない場合、自分たちで結果を精査する知識と時間が必要) ・クラウドベースのAI診断ツールの場合は、外部サーバーに情報を送る必要があるためデータの扱いは要注意 |
ハイブリット診断(ツールと診断員による手作業の診断)
| 価格面 | 費用面では高めな傾向 |
| メリット | ・専門家によって診断結果を精査するため高精度な診断結果が得られる(誤検知がない) ・ツールやAI診断では検査ができない項目の検査や診断対象のシステム特性を鑑みた漏れのない診断が可能 |
| デメリット | ・ツール診断やAI診断に比べるとコストは高め ・診断員の空き状況が診断時期に影響する可能性がある。特に、リリースが多い3月~9月ごろは診断依頼が集中する傾向にあり、診断時期は早めの調整がおすすめ |
各社が提供するサービスごとの違いもしっかり確認しよう!
診断の方法だけではなく、各社のサービスでどこまで対応してくれるのかという点は、サービス選定時にしっかりと確認したほうが良いです。
サービス内容の確認観点
- 特にツール診断の場合、診断結果は精査済みのものなのか(誤検知が混ざっているようなことはないか)、またはオプションで精査してもらえるのか
- Webアプリの修正が必要な場合に問い合わせ対応などのサポートをしてもらえるのか
- Webアプリの修正後に再診断をしてもらえるのか。再診断の条件はあるか
診断方法の特徴を知っておくのも大切なことですが、このような点でぜひ各サービスの対応範囲を確認してみてください! もちろん、会社の信頼性などは要確認です!
「ツールのみの診断が安いから取りあえずこれでいいじゃん!」それ、ちょっと待った!
診断方法のまとめでも記載しましたが、ツール診断には比較的安価である面などのメリットはありますが、検査ができない項目があったり、場合によっては診断後に自分たちでやらなければならないことがあったりします。
ツール診断の罠1「発見が難しい脆弱性」
IPAチェックリスト項目の中で、ツールでは発見が難しい項目は以下のとおりです(ツールにより異なる場合もあります) 。
- セッション管理の不備
- CSRF(クロスサイトリクエストフォージェリ)
- メールヘッダ・インジェクション
- アクセス制御や認可制御の欠落
また、検査対象の洗い出しをツールの自動スキャンに任せている場合、人間の操作が必要な機能や実行回数に制限のある機能などはスキャンができずに検査対象から漏れてしまう可能性もあるので、要注意です。
ツール診断の罠2「発見されたものが脆弱性とは限らない!?」
ツール診断によって脆弱性が発見された場合、自分たちで以下のことを実施する必要が出てきます。
- Step1. 必要に応じて、自分たちで診断結果レポートを精査し、誤検知を取り除く
- Step2. 危険度などから改修対象や優先度を決め、プログラム改修を実施する
ツール診断結果には、誤検知も含まれますので、見つかったものが全て脆弱性とは限りません。誤検知を取り除き、優先度を決めて改修する、ここまでしっかり対応することで、脆弱性診断の有効性が発揮されます。
しかし、適切な対応ができずに診断が無意味になってしまうようなケースも発生します。
例えば
- 診断結果は出たものの、放置。または結果を読み解くために必要なスキルを持った人がおらず、結果の精査が困難。結局何をどう対応したら良いのか分からない
- 誤検知にもかかわらず修正をしようとしてしまい、無駄な工数がかかってしまった
などといったことにならないよう、ぜひ自分たちのニーズ・体制に合ったサービスの選定をしてみてください。
サイバー攻撃による被害の大きさを考えても、「取りあえず脆弱性診断はやればいい!」ということではなく、しっかりと安全なWebアプリケーションにすることを目的に取り組まれることをおすすめします。
プロジェクト体制(人員)から見る脆弱性診断選定の方向性まとめ
診断方法の特徴などを踏まえ、プロジェクトの体制(人員のスキルから)の切り口で選定の方向性についてまとめておきたいと思います。
セキュリティや脆弱性診断の専門知識を持つ人員がいない場合
また、コスト面を鑑みると、Webアプリのリリース前は、ハイブリッド診断を実施。リリース以降の定期診断は、診断範囲を区切って複数回に分けてハイブリッド診断を実施とするか、アプリ特性によっては手厚いサポートがあるツール診断/AI診断に加えて一部だけをハイブリッド診断で実施というのもご検討いただいても良いかもしれません。
セキュリティや脆弱性診断の専門知識を持つ人員がいる場合
ただし、Webアプリの特性によって、リリース前にはハイブリッド診断で検査漏れもなく精度が高い診断を実施。リリース以降の定期診断はツール診断/AI診断を基本に、アプリ特性によっては一部をハイブリッド診断でといった流れもご検討いただいても良いかもしれません 。
※ツール診断やAI診断では診断不可な項目がありますので、各サービスベンダーにお問い合わせください。
まとめ
脆弱性診断に限らず、サービスの選定にはいろいろなことに配慮する必要がありますね。
今回は、診断方法による価格面、成果物の違いを含めたメリットデメリットの整理に加え、プロジェクト体制(人員)の切り口からサービス選定の方向性をまとめてみました。
あくまでも一例ですので、いろいろな状況が重なると選択の方向性が変わることも十分に考えられます。
ご不明な点などはどうぞお気軽にご相談ください。
ライター/ふぁんふぁん
愛犬をめで、楽器と戯れ、おいしいものにかぶりつく日常を送りつつ、信興テクノミストのハイブリッドWebセキュリティ診断「ABURIDA®️」のカスタマーサポートとして縁の下の力持ちになるべく修行中。