近年、WebサイトやWebアプリケーションソフト等の脆弱性を悪用する攻撃が数多く確認されており、それらのソフトウェアを利用している企業にとって重大な脅威となっています。
これに伴い、ソフトウェアに対してすばやく網羅的にチェックできる「脆弱性チェックツール」の導入が進んでいます。
脆弱性に対する当社の強み
脆弱性チェックツールを用いた診断は機械的な検査であるため、過検知や誤検知なども含まれることも多く、その結果を補正することで正確な情報が得られます。
当社では脆弱性チェックツールの設定方法から実施結果に対するフィードバックに至るまで、多くのノウハウを蓄積しており、さまざまな観点・手法から脆弱性を診断することができます。
脆弱性チェックツールのチェック対象とチェック内容
| チェック対象 | チェック内容 |
|---|
| Webアプリケーション(静的解析) |
オープンソース(OSS)に起因する脆弱性や、ソフトウェアのソースコードに潜む脆弱性を検出する。 |
| Webアプリケーション(動的解析) |
Webアプリに対してHTTPリクエストをハッカー視点で送信することにより、脆弱性を検出する。 |
| サーバ / ネットワーク |
ポートに対して攻撃される可能性のある脆弱性を検出する。 |
脆弱性チェックツールを使用した未然防止実績
Webアプリケーション(動的解析)
- クロスサイトスクリプティングを検知
- ユーザが入力した内容を表示するWebサイトの脆弱性(XSS脆弱性)を狙った攻撃のこと。攻撃者は、入力内容に悪意のあるスクリプトを貼り付け実行させることで攻撃する。
- OSコマンドインジェクションを検知
- Webサイトの入力フォーム(データや数値の入力メニュー)に、オペレーティングシステムのコマンド(命令分)を紛れ込ませて不正に実行し攻撃すること。攻撃者は、想定していない命令文を強制的に実行させる。
Webアプリケーション(静的解析)
- XML External Entity Injectionを検知
- 外部エンティティレゾリューションの回避も制限もしない設定の XML パーサーを使用すると、パーサーが XML External Entities 攻撃にさらされる可能性がある。
- SQL Injectionを検知
- 信頼されていないソースから受信した入力を使用して構築された SQL クエリを呼び出すことで、攻撃者によるステートメントの改変や任意の SQL コマンドの実行が可能となる場合がある。
サーバ/ネットワーク
- TLSの脆弱性を検知
- SSL3.0廃止の原因となった脆弱性「POODLE」が残っていることから、安全な暗号化プロトコルとは言えず、一定の条件下であれば暗号解読が可能であるという問題がある。
- Unsupported Web Server Detectionを検知
- 使用しているバージョンではリモートWebサーバは廃止されているため、ベンダーやプロバイダーによって保守されなくなり、結果としてセキュリティの脆弱性が含まれる可能性があるという問題がある。
脆弱性チェックツールの使用例
脆弱性チェックツールはそれぞれ検査内容に特徴があり、使い分けが必要となります。
以下に「Webアプリケーション開発」「仮想アプライアンス開発」の使用例を示します。
- *
- ウエブサイト中の会社名、商品名は各社の商標、または登録商標です。
- *
- 本文中および図中では、TMマーク、®マークは表記しておりません。
- *
- 本ソリューションの仕様は、改良のため、予告なく変更する場合があります。
- *
- 本ソリューションを輸出される場合、外国為替および外国貿易法並びに米国の輸出管理関連規則などの規制をご確認の上、必要な手続きをお取りください。
なお、ご不明な場合は、当社担当営業にお問い合わせください。
- *
- 当社へのお問い合わせ宛先に送られる個人情報は、本ソリューションサービスについてのみ使用します。
