Webアプリケーションの脆弱性診断ってどんな感じ?

セキュリティ

脆弱性診断ってどうやるんだろう?って方もいるかと思います。

また、学生さんとかで今後進路として、脆弱性診断をやりたいという人がいるかもれませんので、どんな感じで仕事を進めているかを記事にしたいと思います。

なお、内容については個人的な見解であることをあらかじめご了承ください。

診断の開始前に

まずは脆弱性診断をしたいと考えている人や企業や団体から依頼が来ます。電話であったり、メールであったり、前に実施してよかったので紹介してもらったり等様々です。

診断をやりたい箇所を簡単にヒアリングして、Webアプリケーションの実施かプラットフォームの実施か、PCIDSS等に準拠しているかの診断等を確認します。(ここではWebアプリケーションの依頼とします。)
※もっと細かくメニューがあったりするのですが、ここでは割愛します。

Webアプリケーションの場合では、まずはどこの画面を診断するのかを確認し、対象の画面数を確認します。

この画面数が金額に大きく影響します。会社によっては機能数だったりもします。

また、依頼してくる側がWebアプリケーションの画面数や機能数と言われてもぱっとしない場合もあるので、画面遷移図や対象のURL数がわかる資料を作成したりもします。(ここは有料であったり、依頼が確定しているなら無料であったりと会社によってまちまちです。)

画面遷移図って?方もいるかと思うので、以下に簡単にこんな感じのだっていうのを作成しました。

ここにURL等が入っているもの等様々なものがありますので、これが全てではないということを予め念頭に置いといてください。

また、予算が限られている場合等は、上記画面遷移図等からさらにどの個所に対して診断を実施するかを絞る場合も多々あります。

対象が確定したら、診断を実施する日や当日の連絡体制等の情報を確認して、診断実施です。

診断はどんな感じか

これは本当に会社によって様々ですが、まずは診断を実施する対象にツールでの診断を実施するのが一般的ではないかと思います。

注文したサービスによってはその結果を持って診断終了になる場合もあります。

ただ、各社色々やっていますので、一般的にはツールで検出したものに対して、本当にその脆弱性が存在するかどうかの確認は行うのではないでしょうか?
※本当かどうかは依頼する会社に確認してくださいね。

また、マニュアル診断(呼び方はまちまち)と呼ばれるサービスを行っている会社であれば、アクセス制御の不備やパスワード強度や認証箇所に問題がないか等、ツールで検出しずらい問題を見つけるサービスもあります。

そうして、予め決めた日程で診断を終え、報告書の作成を行います。
※ツール診断のみの場合はここで、ツールが出力する報告書を提出して終了の場合もあります。

またオプションになると思いますが、報告会も実施する場合もあります。

以下に流れを図で表しましたので、参考にしてください。

もちろんこれが全てではないので、ご了承ください。

どういった会社を選べばいいのか?

ここは物凄い難しいですね。

ヒアリング等をしたときにセキュリティについて知っている(脆弱性の話だけではなくシステム等の話まで)人がちゃんと来てくれるのがまずは良いかと思います。
※直接会わなくとも電話とかでの対応とかも含む。

営業とかで「なんでも大丈夫です!」って言っている人は基本信じない方がいいかと思います。

なんかあった時に必ず揉めますし、最悪、実施前に「やっぱりできません><」とか言ってくる可能性もあるので。

診断については実施するのが難しい場合もあるので、そこでちゃんと技術的に難しいところは難しいと言ってくれる人の方がいいですね。(セキュリティについて知っていると似たような感じですが。)

後は他の信頼できる会社や個人からの紹介であったりするのが、まずは安心かなと思います。

う~ん、記事にしてみると上手く伝えられない事ってあるなと実感しました。

メール等でも質問があればお答えしますので、気軽に聞いてください。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

コメント