はじめに

これまで、私がWebアプリケーションの脆弱性診断業務に携わって数年になりますが、毎回新たな発見があり、いまだに新鮮な気持ちで多くの学びを得ながら対応しています。今回はそのようなエンジニアの視点から脆弱性診断についてお伝えし、今後、脆弱性診断の実施を考えている皆様にとって、これまでと違った新たな検討視点としていただけるよう、御一読いただけますと幸いです。

脆弱性診断実施において様々な対応が必要となる事例

私事で恐縮ですが、実はWebアプリケーションの脆弱性診断業務に携わる前は開発業務に勤しんでおりました。開発業務はある程度流れができていたため、過去の経験から同じ轍は踏まないような判断ができたり、固定されつつある流れに対して、新しい試みを取り入れる判断を行う場面も多くありました。

しかし、Webアプリケーションの脆弱性診断業務においては基本的に毎回違う対応が求められ、予想もしない角度から様々な事象が発生し、多くの学びを得られることに繋がっています。

実際にどのような対応が発生し、脆弱性診断内容にどのような影響があったか、幾つかピックアップした内容や、その理由も記載しようかと思います。そうすることで、この内容が脆弱性診断の実施をお考えの企業様にとって、少しでも実施依頼における参考材料になりますと幸いです。

• 脆弱性診断対象のリクエストが指定されている
  ⇒診断対象が不明確な場合、お客様への確認作業が発生するため、進捗に影響を及ぼす可能性がある。
• 脆弱性診断対象の画面の遷移手順がはっきりしている
  ⇒診断対象を確認する際に、「事前にデータの登録が必要」や「別画面で承認した後に出てくる」等がある場合、その前情報がないと診断業務が行えず、確認事項でのやりとりが増えてしまいます。
• 確認事項に対するリアクションが早い
  ⇒診断業務中には大小あれど確認事項が発生することがありますが、リアクションが遅い場合には納期や工期に多大な影響を及ぼすため。
• サーバの処理能力が高い
  ⇒サーバとの通信中の内容から診断を行うため、サーバにある程度の負荷に耐えれるものじゃない場合は、通信間隔を調整しています。想定時の速さで実施できない場合は、業務期間に多大に影響を及ぼします。

脆弱性診断業務の実施による良かった点・悪かった点のご紹介

また、毎回様々な取り組みが求められる脆弱性診断を実施するにあたり、エンジニア視点から、これまで取り組んで良かった点、悪かった点と感じた内容も、正直ベースにご紹介させていただきます。

良かった点

• Webアプリケーションの環境構築で設定内容の大切さを知ることができた
  ⇒私も経験がありますが、通常構築を行う際は納期に追われている場合がほとんどで、設定の部分が初期設定のままというのが結構見受けられます。
  しかし、設定内容を確認して適切にするだけで、多少はセキュリティの高い環境を作ることができるかと感じています。

• 脆弱性の判別用のツールに触れる機会が増えた
  ⇒Webアプリケーションのサイトの脆弱性を調査するために様々なツールに触れる必要があり、経験値が増えることで脆弱性診断業務の幅が広がっていると感じています。

• これまでの経験を脆弱性診断時に活用できる
  ⇒これまでの開発経験から、脆弱性診断の実施時、または資料説明を行う際等も、開発寄りの視点で考えて提供できることが多く、実績を良かった点と感じています。

悪かった点

• 先入観を入れたまま取り組む場面がある
  ⇒経験上、開発する際にある程度必要な資料が予想でき、その先入観から実際に資料が無い状態で診断を開始することになった際は大きく戸惑ってしまい、資料等の事前素材が無い前提で取り組むことを想定しておく必要性を感じています。

終わりに

Webアプリケーションの脆弱性診断というのは、世間的にはまだまだ身近にあるものではないと思っています。Webシステムを構築する中で、まずはセキュリティ観点よりも構築が最優先！として作成したものがほとんどで、構築が完了してしまえば後はリリース、という流れに至るのが大半だと思います。（もちろんその中でも紆余曲折で大変ですが。）

私も過去に開発業務に取り組んでいた際は、その流れの中で脆弱性診断を行うという考えはなくリリースに至っていましたが、今こうして脆弱性診断に携わるようになり、リリース前のアプリケーションの診断業務中に、ボタン押下時に作成者の意図しない攻撃者が仕込んだJavaScriptが実行されてしまうのを見ていると震えてしまいます。

このようなリスクの被害を受けないためにも、まずは脆弱性診断を実施依頼し、その診断結果を参照することで「どのようなリスクが発生するか」「セキュアな構築で特に気にするべきポイント」等が見えてくる部分もあるかと感じています。

そのため、今後緊急レベルでの脆弱性が見つかった場合に「セキュリティ的に応急処置をした方が良いポイント」等の気づきが得られる等、開発者にとっては今後の開発対応にも良い影響が出てく部分があるかと存じます。

ぜひ、Webアプリケーション開発中の方々や、脆弱性診断の実施を検討されている方は、このような視点からの脆弱性診断実施の御一考も含め、ご検討いただけますと幸いです。

サービス紹介:セキュリティ脆弱性診断サービス