サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。 ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

「脆弱性診断」の種類と概要

脆弱性診断の種類と概要
目次
  • 脆弱性診断とは
  • Webアプリケーション診断
  • スマートフォンアプリケーション診断
  • クラウド診断

脆弱性診断とは

脆弱性診断(セキュリティ診断)は、情報システムや情報資産への侵害を許すような脆弱性や欠陥を、外部から検査して報告するサービスです。健康診断では聴診器やレントゲンで身体の情報を収集して病気の兆候を見つけるように、脆弱性診断では様々な方法でシステム応答を収集して脆弱性を発見します。

検査する範囲によって「Webアプリケーション診断」「プラットフォーム診断」「クラウド診断」等といった種類があります。ここでは、それらの脆弱性診断サービスの中から一部をご紹介します。

Webアプリケーション診断

Webアプリケーション診断は、ECサイトやコーポレートサイトなどのWEBサイトをはじめ、スマートフォンアプリ向けのWeb API、およびREST APIなどのフロントレスWebサービスといった、HTTP通信を伴うWebアプリケーションを対象とした脆弱性診断です。

ユーザとして対象のWebアプリケーションを操作しながら、サーバサイドプログラムにおける挙動やHTTP通信の内容、クライアントサイドの画面要素やJava Scriptプログラムの挙動を確認して、Webアプリケーションに潜む不具合や欠陥を見つけ出します。

この診断では、Webアプリケーションのセキュリティを策定する国際的な組織であるOWASPが発行している「アプリケーションセキュリティ検証基準(ASVS)」を基準としています。

スマートフォンアプリケーション診断

スマートフォンアプリケーション診断は、iOSやAndroidのスマートフォン端末で動作するモバイルアプリケーションを対象とした脆弱性診断です。

ユーザとして対象のモバイルアプリケーションを操作しながら、ストレージへの保存やログ出力といった挙動やサーバとの通信、配布アプリに含まれるコンテンツなどを確認して、アプリケーションに潜む不具合や欠陥を見つけ出します。

この診断では、上で触れたOWASPが発行している「モバイルアプリケーションセキュリティ検証標準(MASVS)」を基準としています。

クラウド診断

クラウド診断は、AWSやGCP、Azureといったクラウド環境を対象とした脆弱性診断です。

管理コンソールやアカウント、各種サービスやネットワークのアクセス制御といったセキュリティ設定を確認して、クラウド環境に潜む不具合や欠陥を見つけ出します。

クラウドのユーザによるクラウド設定が対象で、アプリケーションやOS・ミドルウェア(プラットフォーム)の脆弱性は対象とならない点に注意が必要です。

この診断では、各種製品のベストプラクティスを整理・提供する組織であるCenter for Internet Security(CIS)が発行している「CISベンチマーク」を基準としています。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 蕏塚 昌大

大学院では物理学の国際共同実験に携わり、機械学習を活用したソフトウェアモジュールを開発。2017年に新卒として株式会社SHIFT SECURITYに入社。標準化エンジニアとしてWebアプリケーションやクラウドの診断をはじめとする各種セキュリティ診断サービスの標準化を推進。週末は庭の雑草抜きに勤しむ。好きな言葉は「根こそぎ」。

\ 記事をシェアする /

サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話