自社でも自己診断ができる様に無償ツール OWASP ZAP を利用した脆弱性診断の実施 と 診断結果に伴う対策計画策定を支援。
背景
事業所向けのWebサービスを展開する中、大口見込顧客から導入条件として脆弱性診断結果の提示が求められた。
当時の社内の現状は次の通りで、脆弱性診断の対応ができる状態ではなかった
- 開発部門も含めて脆弱性診断そのものを経験したメンバが不在
- 脆弱性診断の見積りを取得したところ、機能が多いためかペネトレーションテストを含めないアプリケーション診断だけでも500万円を超え、その予算確保が不可
- 開発部門ではリリーススケジュールが非常にタイトだたため、脆弱性診断の時間を取ることが難しい
支援を依頼した理由
ホワイトハッカーで著名な大手メーカー系ベンダー出身であり、Webアプリに対する脆弱性診断を受査および実施それぞれの経験を持つ専門家に依頼。
- プラットフォーム、アプリケーションそれぞれに対する脆弱性診断を単に実施するだけでなく、中長期の対策計画までを策定した。
- プラットフォーム診断結果により、DBは現行のままでも問題がないことを確認し、言語のバージョンアップについて長期計画として立案。
- アプリケーション診断結果により、発生リスクや影響を鑑みて直ぐに対策が必要なもの/中長期に対策を行うべきもの、アプリケーションで対策を行うもの/インフラで対策をおこなうもの/ミドルウェアで対策を行うものを整理し、対策計画を設定
成果
Webサービスに対して、OWASP ZAPによる脆弱性診断を実施し、診断結果と今後の対応計画について 大口見込顧客 に提示が出来、受注に至った。
- 脆弱性診断は対策前後と定期的に何度も実施する必要があることから、無償ツール であるOWASP ZAP 利用の提案があった。
- OWASP ZAP による「アプリケーション診断」だけではなく、インフラにも検知見があり「プラットフォーム診断」の対応も依頼も可能だった。
- IPAの安全なウェブサイトの作り方を事例にOWASP ZAP で による脆弱性診断で検知できることと検知できないことの説明が分かりやすく、大口見込顧客への説明がスムーズに行えると判断した
- 認証が必要なWebサービスでもOWASP ZAPで脆弱性診断が可能だった。
- セキュリティに対する保証証明ではないものの、OWASP ZAP 脆弱性診断結果を第3者機関としての発行を依頼できた。
今後の展望
- 対策計画を確実に推進するとともに、設定を引き継いだOWASP ZAPを活用して、メジャーリリース毎にタイミングで脆弱性診断を組み入れていく。
- プラットフォーム診断において、性能に関しても言語のバージョンアップによって、かなり向上できるとアドバイスを頂いたので、言語のバージョンアップも確実に行っていく。
