セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場技術・仕組み「脆弱性診断」の種類と概要

「脆弱性診断」の種類と概要

2021.09.10 技術・仕組み

脆弱性診断とは
Ｗｅｂアプリケーション診断
スマートフォンアプリケーション診断
クラウド診断

脆弱性診断とは

脆弱性診断（セキュリティ診断）は、情報システムや情報資産への侵害を許すような脆弱性や欠陥を、外部から検査して報告するサービスです。健康診断では聴診器やレントゲンで身体の情報を収集して病気の兆候を見つけるように、脆弱性診断では様々な方法でシステム応答を収集して脆弱性を発見します。

検査する範囲によって「Ｗｅｂアプリケーション診断」「プラットフォーム診断」「クラウド診断」等といった種類があります。ここでは、それらの脆弱性診断サービスの中から一部をご紹介します。

Ｗｅｂアプリケーション診断

Ｗｅｂアプリケーション診断は、ＥＣサイトやコーポレートサイトなどのＷＥＢサイトをはじめ、スマートフォンアプリ向けのＷｅｂＡＰＩ、およびＲＥＳＴＡＰＩなどのフロントレスWebサービスといった、ＨＴＴＰ通信を伴うＷｅｂアプリケーションを対象とした脆弱性診断です。

ユーザとして対象のＷｅｂアプリケーションを操作しながら、サーバサイドプログラムにおける挙動やＨＴＴＰ通信の内容、クライアントサイドの画面要素やＪａｖａＳｃｒｉｐｔプログラムの挙動を確認して、Ｗｅｂアプリケーションに潜む不具合や欠陥を見つけ出します。

この診断では、Ｗｅｂアプリケーションのセキュリティを策定する国際的な組織であるＯＷＡＳＰが発行している「アプリケーションセキュリティ検証基準（ＡＳＶＳ）」を基準としています。

スマートフォンアプリケーション診断

スマートフォンアプリケーション診断は、iOSやAndroidのスマートフォン端末で動作するモバイルアプリケーションを対象とした脆弱性診断です。

ユーザとして対象のモバイルアプリケーションを操作しながら、ストレージへの保存やログ出力といった挙動やサーバとの通信、配布アプリに含まれるコンテンツなどを確認して、アプリケーションに潜む不具合や欠陥を見つけ出します。

この診断では、上で触れたＯＷＡＳＰが発行している「モバイルアプリケーションセキュリティ検証標準（ＭＡＳＶＳ）」を基準としています。

クラウド診断

クラウド診断は、ＡＷＳやＧＣＰ、Ａｚｕｒｅといったクラウド環境を対象とした脆弱性診断です。

管理コンソールやアカウント、各種サービスやネットワークのアクセス制御といったセキュリティ設定を確認して、クラウド環境に潜む不具合や欠陥を見つけ出します。

クラウドのユーザによるクラウド設定が対象で、アプリケーションやＯＳ・ミドルウェア（プラットフォーム）の脆弱性は対象とならない点に注意が必要です。

この診断では、各種製品のベストプラクティスを整理・提供する組織であるCenter for Internet Security（ＣＩＳ）が発行している「ＣＩＳベンチマーク」を基準としています。

クラウド診断がなぜ必要なのか

クラウド診断とは
クラウドの設定がセキュリティ上の問題になる背景
クラウドの設定ミスで生じる現象
既存の脆弱性診断で問題検出できない理由

クラウド診断とプラットフォーム診断の違いってなに

プラットフォーム診断とは
クラウド診断とは
クラウド診断とプラットフォーム診断の違い

あなたの疑問を一緒に解決します！

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します！
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

サービスをみる

この記事の著者蕏塚昌大

大学院では物理学の国際共同実験に携わり、機械学習を活用したソフトウェアモジュールを開発。2017年に新卒として株式会社SHIFT SECURITYに入社。標準化エンジニアとしてWebアプリケーションやクラウドの診断をはじめとする各種セキュリティ診断サービスの標準化を推進。週末は庭の雑草抜きに勤しむ。好きな言葉は「根こそぎ」。