Webアプリケーションは、インターネットに公開されている以上、攻撃者にとって最もアクセスしやすい攻撃対象の一つです。ECサイトや業務システム、SaaSなど、多くのサービスがWebアプリケーションとして提供される中、そのセキュリティ対策の大切さは増しています。
本記事では、Webアプリケーション診断の基本から、限られた予算の中で何を診断対象として選ぶべきか、開発プロセスにどう組み込むべきかまでを解説します。
Webアプリケーション診断とは
Webアプリケーション診断とは、Webブラウザを通じて利用するアプリケーションを対象に、アプリケーション層に存在する脆弱性を検出するための検査です。バックエンドで動作するAPIも診断対象に含まれます。脆弱性診断のプランの一つとして提供されることが一般的です。
サーバやネットワーク機器の設定不備を検査するプラットフォーム診断がインフラ層を対象とするのに対し、Webアプリケーション診断はアプリケーションの機能や画面遷移、データ処理のロジックといった、より上位の層を対象とします。
Webアプリケーション診断で扱う主な観点
Webアプリケーション診断では、さまざまな種類の脆弱性を検査します。ここでは、実務上特に検出頻度が高く、影響の大きい代表的な観点を紹介します。
SQLインジェクション
SQLインジェクションとは、アプリケーションの入力値を通じてデータベースへの問い合わせを不正に操作する攻撃手法です。攻撃が成功すると、データベースに格納された顧客情報や認証情報が窃取されたり、データが改ざん・削除されたりするおそれがあります。Webアプリケーションに対する攻撃の中でも、特に被害が深刻になりやすい脆弱性の一つです。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングとは、Webアプリケーションの画面上で悪意のあるスクリプトが実行される脆弱性です。攻撃者がスクリプトを埋め込むことに成功すると、そのページを閲覧した利用者のCookie情報が窃取されてセッションを乗っ取られたり、偽の入力フォームに誘導されて個人情報を騙し取られたりする被害が発生し得ます。
認証・認可の不備
ログイン機構や権限管理に不備がある場合、攻撃者が他のユーザのアカウントに不正にアクセスしたり、本来許可されていない操作を実行できてしまうリスクがあります。例えば、パスワードリセット機能の設計に問題があるケースや、一般ユーザが管理者向けの機能にアクセスできてしまうケースなどが該当します。
セッション管理の不備
Webアプリケーションでは、ログイン後のユーザをセッションIDによって識別するのが一般的です。このセッション管理に不備があると、セッションIDの推測や窃取によるなりすまし、ログアウト後もセッションが有効なまま残り続けるといった問題が発生する可能性があります。
ビジネスロジックの不備
ビジネスロジックの不備とは、アプリケーションの仕様や業務フローの設計に起因するセキュリティ上の問題です。例えば、ECサイトにおいて数量や金額をリクエストパラメータとして送信する際にサーバ側での検証が不十分であれば、本来あり得ない数値で注文が成立してしまう可能性があります。
この種の脆弱性は、アプリケーション固有の仕様に深く依存するため、ツール診断では発見が困難です。セキュリティエンジニアがアプリケーションの仕様を理解した上で、手動で検査することが求められる領域であり、手動診断の価値が特に発揮される観点と言えます。
診断対象の選び方 ─ 何をスコープにすべきか
Webアプリケーション診断では、理想的にはすべての画面・機能を診断対象とすることが望ましいですが、予算やスケジュールの制約から、診断スコープを絞る判断が必要になるケースは少なくありません。その場合に鍵となるのが、リスクベースでの優先順位付けです。
優先度の高い診断対象
以下のような機能は、攻撃された場合の影響が大きいため、予算が限られている場合でも優先的に診断対象に含めることを推奨します。
- 個人情報や機密データを扱う機能:氏名・住所・メールアドレスなどの個人情報や、クレジットカード情報、マイナンバーなどの機密情報を入力・表示・処理する画面
- 認証・権限管理に関わる機能:ログイン、パスワードリセット、二要素認証、ユーザ権限の切り替えなど、アクセス制御の根幹に関わる機能
- 決済、ポイント施策に関する機能:決済処理、ポイント付与・利用、金額計算など、金銭的な損害に直結する機能
- 外部連携に使用するAPI:モバイルアプリや外部サービスとのデータ連携に使用されるAPIエンドポイント
- 新規開発・大幅改修された箇所:新たにコードが書かれた部分は、既存の成熟したコードに比べて脆弱性が混入しやすい
優先度を下げられる場合がある対象
一方で、変更が加えられていない静的ページや、過去の診断で検査済みかつ改修のない機能については、相対的に優先度を下げることが可能な場合もあります。ただし、これはあくまでリスクを許容した上での判断であり、一律に「診断不要」とすべきではありません。
ベンダとの相談が大切
診断スコープの選定は、自社だけで判断するのではなく、診断を依頼するベンダと相談しながら進めることを推奨します。セキュリティエンジニアの視点から見ると、お客様が想定していなかったリスクの高い箇所が見つかることもあります。ヒアリングの段階でシステムの構成や機能の概要を共有いただくことで、より適切なスコープの提案が可能になります。
開発プロセスへの診断の組み込み方
Webアプリケーション診断は「リリース前に一度だけ実施するもの」と捉えられがちですが、開発プロセスの中に診断を適切に位置づけることで、より効果的にセキュリティリスクを低減できます。
リリース前の診断
Webアプリケーションを公開する前の診断は、最も基本的かつ大切なタイミングです。本番環境に脆弱性が残ったまま公開されるリスクを防ぐことができます。
ただし、リリース直前に初めて診断を実施すると、重大な脆弱性が見つかった場合に修正の時間を確保できず、リリース延期を余儀なくされるケースもあります。スケジュールには余裕を持って計画することが大切です。
開発中盤での早期診断
主要な機能が実装された段階で一度診断を挟む「早期診断」は、効果的なアプローチです。認証・認可の設計方針やデータの取り扱い方など、設計レベルの問題を開発の早い段階で発見できれば、手戻りのコストを大幅に抑えることができます。
リリース前の診断で初めて設計レベルの問題が発覚すると、修正には大規模な改修が必要になることもあります。早期診断によってこうしたリスクを軽減できる点は、開発チームにとっても経営層にとっても大きなメリットです。
定期的な診断サイクル
リリース後も、新たな脆弱性は日々発見され、攻撃手法も変化し続けます。一度診断を実施して問題がなかったとしても、時間の経過とともにリスクは変化します。年に1回〜四半期に1回など、定期的な診断サイクルを確立しておくことが望ましいでしょう。
脆弱性診断全般の実施タイミングについては、「脆弱性診断とは?実施タイミングやペネトレーションテストとの違いは?」でも詳しく解説していますので、あわせてご覧ください。
開発チームへのフィードバック
診断で検出された脆弱性を修正するだけでなく、その結果を開発チームにフィードバックし、ナレッジとして蓄積していくことも大切です。例えば、「SQLインジェクションが複数箇所で検出された」という結果があれば、そのプロジェクトだけでなく組織全体のコーディング規約やレビュー基準を見直すきっかけにもなります。
診断を「指摘を受けて修正する」という受動的な取り組みにとどめず、「開発チーム内で知見を共有し、脆弱性を作り込まない体制を構築する」という能動的な取り組みにつなげていくことが、中長期的なセキュリティ強化の鍵となります。
Webアプリケーション診断の流れ
Webアプリケーション診断は、一般的に以下のような流れで実施されます。
① ヒアリング・スコープ定義
診断対象のWebアプリケーションの構成、利用技術、機能の概要などをヒアリングし、診断の範囲を定義します。テスト環境の有無や、認証が必要な画面の有無、診断から除外すべきページ(外部サービスへの課金が発生する機能など)についてもこの段階で確認します。
② 仕様確認・動作確認
診断対象のアプリケーションの画面遷移や機能の挙動を事前に確認します。正常な動作を把握しておくことで、診断の精度を高め、誤検知のリスクを低減します。
③ 診断の実施
定義したスコープに基づき、セキュリティエンジニアが手動で検査を実施します。診断のプランは予算に応じて異なり、手動診断を中心としたプランのほか、ツール診断を組み合わせたプランなどがあります。自社の予算や求めるセキュリティレベルに応じて、ベンダと相談しながら最適なプランを選定しましょう。
④ 報告書の作成
検出された脆弱性をリスクの深刻度に応じて分類し、再現手順や想定される影響、具体的な対策案とともにまとめた報告書を作成します。
まとめ
Webアプリケーション診断は、Webブラウザを通じて利用するアプリケーションに潜む脆弱性を検出するための検査です。SQLインジェクションやXSS、認証・認可の不備、ビジネスロジックの問題など、多様な観点からセキュリティリスクを検証します。
診断の効果を最大化するためには、リスクベースで適切に診断対象を選定すること、そしてリリース前の一度きりではなく開発プロセスの中に診断を組み込んでいくことが大切です。
「自社のWebアプリケーションにどのような診断が必要か」「限られた予算でどこから手をつけるべきか」といったお悩みがございましたら、お気軽にご相談ください。