Web Security Checkerのご紹介

Web Security Checkerとウェブの脆弱性に関する説明

Web Security Checkerは顧客のウェブサービスを対象に自動で脆弱性を診断するサービスです。

サービスの利用をお勧めする顧客

Web Security Checkerサービスはこのような顧客の方にお勧めです。

1) 高価のウェブ脆弱性診断ツールやセキュリティコンサルティングのコストが負担な顧客

ウェブサービスの脆弱性を診断するための別途のソフトウェアの購買および更新、侵入テストやコンサルティングのようなウェブの脆弱性に関する診断業務の依頼、専門セキュリティ人材の採用など、サービスのセキュリティのために投資されるコストを大幅に削減できます。

2) 脆弱性の診断が至急必要な顧客

侵害の状況が発見されたりサービスのオープンのためにウェブの脆弱性のための診断が至急必要な場合、効果的に利用できます。

3) セキュリティ認証や法律で要求する脆弱性の診断を簡単に済ませたい顧客

セキュリティ認証の取得、個人情報の保存/転送/取扱い、電子金融取引など、様々なビジネスのニーズに合わせて順守しなければならない法律的な要件をWeb Security Checkerサービスを利用して速くて簡単に満足させられます。

4) 運用中のサービスに対して脆弱性の診断を行いたいが、セキュリティ担当者がいない顧客

100%自動で診断され、対応方法まで提示されるので、セキュリティ専門の担当者でなくてもウェブの脆弱性に関する診断ができます。

5) 潜在的な脆弱性を事前に見つけ出して措置を取り、サービスの安全性を確保したい顧客

開発されたウェブページの脆弱性を診断して事前に措置を取ることができるため、セキュリティ上安全で安定したサービスを顧客に提供できます。

ウェブの脆弱性について

ウェブの脆弱性の定義

'ウェブの脆弱性'とはウェブサービスを運用または利用する際に発生する可能性のある、ウェブアプリケーションのソースコードと動作方式などに存在するセキュリティ上の弱点をいいます。

診断可能な脆弱性

Web Security Checkerは実際ハッカーにより最もたくさん利用される脆弱性と、成功した場合被害の大きい脆弱性を重点的に診断します。

現在はXSS, SQL Injection, XXE, SSRFなど、主なウェブの脆弱性を診断でき、診断可能な脆弱性は継続してアップデートされる予定です。

診断可能な脆弱性に関する詳しい説明 : https://www.ncloud.com/product/security/webSecurityChecker

サービスの構造と脆弱性診断の方法

サービスの構造

Web Security Checkerサービスは診断に必要な情報をコンソールを利用して入力すれば、診断を開始します。診断対象の情報を入力する際、http://, https://を含めるURL形式で入力します。ドメインまたはパブリックIPが割り当てられたNAVERクラウドプラットフォームでサービスしているウェブサイドのみ診断できます。

診断方法

Web Security Checkerサービスは顧客のウェブサービスに脆弱性が存在するのかを検証するために様々なHTTPパケットを顧客のウェブサーバに転送し、そのレスポンスの値を綿密に分析して脆弱性の有無を判断します。

診断は次のように行われます。

1) 隙のない診断を実行するために、顧客のウェブサイト内のURLをクローリングして点検対象のURLを収集します。
2) 収集されたURLを対象に脆弱性の有無を把握するために精巧に構成したHTTPパケットを転送し、レスポンスの値を分析して脆弱性を検知します。
3) 検知された脆弱性に関し、顧客に適合した対応方法を提示します。

すべてのプロセスは100%自動で行われ、人間が見つけにくい部分まで速くて正確に脆弱性を見つけ出せます。

診断結果の確認および脆弱性への対応

Web Security Checkerは脆弱性診断結果レポートを提供します。レポートには診断対象、診断時間、ログイン情報など、診断作業に関する情報とともに発見された脆弱性の種類、危険度、数などが含まれています。また、発見された脆弱性に関する詳しい説明と発見の位置、脆弱性の検証に使われたHTTPパケットとともに詳しい対応方法も記述されています。

診断完了通知の受信

診断が完了すると、設定した通知方式によってメールや携帯電話のショートメッセージで通知を受けることができ、ウェブの脆弱性診断結果レポートも直ちに確認できます。

発見された脆弱性への対応

Web Security Checkerは診断が完了すると、レポートを提供します。レポートには脆弱性に関する内容のみならず対応方法も含まれており、脆弱性への対応の際、参考資料として活用できます。

脆弱性の再診断

最初の診断後60日以内に同じ対象を追加で2回までは無料で再診断できます。前に発見された脆弱性に対して措置を取った後、“再診断機能”を活用すれば、より簡単に脆弱性への措置の結果を確認できます。

誤検知と未検知の可能性

Web Security Checkerは長年蓄積された技術的なノーハウを利用し、潜在的な脆弱性まで見つけ出すように設計/具現して検知率を最大限に高めました。また、自動診断ツールの特性により誤検知と未検知の可能性は存在しますが、様々な検証技術を適用してそれを最小限にとどめました。

顧客の注意事項

1) 収集/診断中にスクリプトが実行され、ファイルやテストの値が作成されたりデータが変更または削除される可能性があります。

Web Security Checkerはページ収集能力を極大化するために動的にページを訪問する中で自らボタンまたはリンクをクリックし、特定の機能が実行される可能性があります。その理由で意図していなかったデータの変更、削除、テストデータの入力などが一部発生する可能性があります。ただし、そのようなことが発生しないようにできるだけ安全に設計されているにも関わらず開発されたコードによっては不可避に実行されるケースもあります。

2) 管理者に任意のメールが送信される可能性があります。

ウェブサービスから管理者にメールを送信する機能が具現されている場合、テスト値が入っているメールが送信される可能性があります。

3) 診断の間にトラフィックが増加する可能性があります。

自主開発した診断アルゴリズムを利用して脆弱性診断の際のトラフィックを最大限にとどめていますが、脆弱性診断ソリューションの特性によりある程度のトラフィックが発生する可能性があります。

4) サイトのレスポンス速度が遅くなる可能性があります。

Web Security Checkerはウェブの脆弱性を明確に診断するために多くのHTTPパケットをウェブサーバに転送しています。その際、サイトのレスポンス速度が遅くなるのを防ぐために各種の安全装置を追加し、最適の診断アルゴリズムを適用してリクエストを最小化しました。実際、同じような動作をするS/Wに比べ、はるかに安全であり、少ないトラフィックが発生しています。それでも具現されたコードによって一部のサイトの場合はレスポンスの速度が遅くなる可能性があります。特に、SQL関連の脆弱性が存在する場合、誤ったコーディングにより遅延現象が発生する可能性もあります。

5) URLの収集·診断が難しい場合があります。

Web Security CheckerはSSR(Server Side Rendering)、CSR(Client Side Rendering)基盤のウェブページや DOMクリックイベントによってレンダリングされるウェブページのURL収集をサポートしています。但し、SPA方式で開発されたサイトで、クリック以外のイベントが発生する場合、リクエストするURLは収集しません。また、JSON方式でリクエストするウェブサイトの場合、正常な診断が難しいことがあります。(※ 今後サポート予定)

さらに安全な診断のためのポイント

1) テスト環境を利用してください。

Web Security Checkerは比較的に安全に作動するように設計されています。それにも関わらずウェブの脆弱性を見つけ出すために一部意図していなかった動作が発生する可能性があり、注意が必要です。

そのような状況に備えてアルファ、ベータ、開発サーバなど、リアルサーバでないテスト環境を利用すれば、さらに安全に診断サービスを受けることができます。

2) バックアップとモニタリングを利用してください。

上記で説明したテスト環境を利用するとともに、診断前にサービスのバックアップとモニタリングを活用すれば、万が一のリスクを最小化し、さらに安全に診断を受けることができます。

※ NAVERクラウドプラットフォームのMonitoring商品が無料で提供されています。それを活用すれば、さらに安全にサービスを利用できます。

Monitoring商品のリンク : https://www.ncloud.com/product/management/monitoring

3) 除外URLを活用してください。

‘除外対象情報入力’機能を使って診断から除きたいURLを入力できます。ウェブサービスに大きな影響を与えるページや収集/診断過程でページ内のスクリプトの実行を遮断する必要があるページを事前に入力して診断対象から除外してください。

4) ログインが必要な場合、アカウントに適切な権限のみを与えてください。

管理者または開発者アカウントのような権限は、意図していなかった動作が発生した場合、一般のアカウントに比べリスクが大きくなる可能性があります。

CookieまたはID, PWをログイン情報として入力する場合、該当のアカウントの権限として適切な権限のみを与えているのかを確認する必要があります。

5) 予約機能を利用して顧客の利用が少ない時間に診断を行ってください。

サービスを正式に提供している場合、安全な診断は必須ですので、ユーザーの多い時間よりは利用の少ない朝早い時間帯に診断することをお勧めします。

サービスの利用方法

利用手順

Web Security Checkerサービスの利用は次のような手順で行われます。

step

ウェブサイトの診断の実行

Step 1. ログインしてからコンソールにアクセス

① NAVERクラウドプラットフォームポータル( https://www.ncloud.com )にアクセスしてログインした後、右上の[Console]ボタンをクリックしてアクセスします。

Step 2. Web Security Checker商品の利用開始

① 左上の"All Products"をクリックします。

② "All Products"メニューでSecurityのサブメニューである"Web Security Checker"をクリックします。

③ [スキャン作業を作成]ボタンをクリックします。

Step 3. サービス利用規約に同意

① サービス利用規約を読んで同意する場合はチェックボックスにチェックします。

② [確認]ボタンをクリックして本格的に利用の申込みを行います。(利用規約同意のウィンドウは同意した後は表示されません。)

Step 4. 対象情報の入力

① http://, https://が含まれた診断対象のURLを入力します。
※ NAVERクラウドプラットフォーム内に本人が作成したウェブサービスのみを診断できます。

② 診断から除くURL情報を入力します。[追加]ボタンをクリックすれば、多数の除外URLの入力も可能です。

Step 5. ログイン情報の入力

Cookieを利用したログイン情報の入力

① 診断の際にログイン機能を使用するためにはCookieまたはID, PWなどの入力方法を選択します。使用しない場合は“ログイン機能なし”をクリックします。

② Cookie入力の場合、直接サーバにログインした後、Cookieの値をCookie入力フォームに入力します。

③ 診断には即時診断と予約診断があり、予約が必要な場合は日付と時間を決めて行うことができます。

④ 診断の際、診断する脆弱性の項目を設定できます。診断を希望しない脆弱性の場合はチェックを解除します。

ID/PWを利用したログイン情報の入力

① ログイン情報の入力の際、ID/PWで入力したい場合は“ID, PWを入力” のラジオボタンをクリックします。

② ログインの際に使われるMethodを選択します。(GETまたはPOST)

③ ログインに使われるAction URLを入力します。(Formでない実際のServer Sideで処理するURL)

④ IDに該当するパラメータ名を入力します。

⑤ PWに該当するパラメータ名を入力します。

⑥ IDを入力します。

⑦ PWを入力します。

⑧ [CHECK]ボタンを押してログインした後、設定されたCookieの情報を持ってきます。

Step 6. 予約および詳細設定

① 即時診断でなく予約診断を希望する場合、“予約”のラジオボタンをクリックします。

② 日付の選択のためにカレンダー模様をクリックします。

③ 診断する日付を選択します。

④ 診断する時間を選択します。

Step 7. 追加の詳細設定

① 診断の際に使うUser- Agentを選択します。診断しようとする環境に合わせてPC, Android, iPhoneなど、User Agentの中の1つを選択します。

② 診断速度を選択します。(診断速度が速いほど診断時間は短縮されますが、ウェブサービスへの負荷が比較的に高くなる可能性があります。)

③ 診断が完了してから通知を受けたい場合、“通知対象設定”をクリックします。

④ 診断履歴管理ページで表示される該当の診断作業に関するメモを自由に残すことができます。

通知対象の設定

① 通知対象者を追加したい場合にクリックすると、通知対象管理ページに移動します。

② 指定する対象者が含まれているグループを選択します。

③ 追加する対象者を選択します。

④ 対象者を追加する場合は[追加]ボタンをクリックします。

⑤ 対象者を削除する場合は[削除]ボタンをクリックします。

⑥ 設定が完了したら[設定を保存]ボタンをクリックします。

Step 8. 設定内容の最終確認および進行方式の選択

① 設定した内容で診断作業を作成します。診断作業の作成が終わると、指定した日程(即時または予約)に合わせて作業が行われます。

② 設定ページに戻りたい場合にクリックします。

Step 9. 作業の進行状況の確認

① 診断開始時刻です。予約診断の場合は診断が始まる時間です。

② 診断が完了した時間です。

③ 現在の診断状態です。

④ ウェブサイトから収集されて診断するURLの数です。

⑤ 発見された脆弱性の数です。

Step 10. 作業中止

① “URL収集中”, “診断進行中”のステータスで作業を中止したい場合、[中止]ボタンをクリックします。

② 本当に中止を希望する場合、[はい]をクリックします。

Step 11. 予約のキャンセル

① “診断予約”ステータスで中止したい場合、[キャンセル]ボタンをクリックします。

② 本当にキャンセルを希望する場合、[はい]をクリックします。

Step 12. 脆弱性診断結果レポートの確認

① 診断が完了すると有効になる[レポート]ボタンをクリックします。

② ブラウザで直ちに閲覧可能であり、PDFファイルでダウンロードしたい場合にクリックします。

Step 13. 脆弱性への措置後、再診断の実行

① [再診断作業を作成]ボタンをクリックします。(最初の診断後60日以内に同じ対象を追加で2回まで無料で再診断可能)

② 最初の診断の際に入力した“対象の情報”は修正できません。

③ 最初の診断の際、“ログイン情報”を入力した場合は該当のセッションが満了した可能性があるので、再度入力してください。

④ 診断項目は変更できます。

⑤ 設定した内容で再診断作業を作成します。

関連情報のご確認

本商品はグローバルリージョンサービスとしても提供されます。

に対する検索結果は~件です。 ""

    に対する検索結果がありません。 ""

    処理中...