コンテンツにスキップ

Webアプリケーションセキュリティアセスメント🔗

サービス概要🔗

Secureworksは、1つのWebアプリケーションに対してWebアプリケーションセキュリティアセスメントを実施します。これには、アプリケーションの状態を分析して脆弱性を特定し、最終レポートをお客様に提供することが含まれます。Secureworksは、アプリケーションテストの業界標準フレームワークに基づいた独自の手法を用います。これには、Open Web Application Security Project (OWASP) Testing Guide、Open Source Security Testing Methodology Manual (OSSTMM)、ベンダー固有のセキュリティドキュメント、そしてSecureworksチームメンバーの経験が含まれます。

サービス手法🔗

Secureworksは、最初のミーティングをスケジューリングし、エンゲージメントルール、工数、スコープ、リスク受容、レポート要件、テストのタイムラインおよびスケジュールを確定します。

アセスメントは以下の手順で実施されます。

自動テスト:

偵察およびアプリケーションマッピングのために、自動化ツールを使用してアプリケーションを迅速に列挙・マッピングし、手作業では多大な労力を要する作業を実施します。これらのツールは、構成上の問題、既知の脆弱性、Webアプリケーションの一般的なエラーを検出します。初期スキャン完了後、Secureworksは手動で結果を分析・検証し、誤検知を排除し、発見事項に現れる顕著なパターンを特定します。自動テストでは、既知のインジェクションの脆弱性、エラーハンドリングの問題、既知の構成上の問題、既知のプラットフォームおよびコードベースの脆弱性、本番システムに保存されたバックアップファイルなど、潜在的な脆弱性が明らかになります。

手動テスト:

Secureworksは、追加の脆弱性検証および脆弱性に対するエクスプロイト実施のため、アプリケーションに対して手動テストを行います。手動テストには、アクセス制御のレビュー、変数の操作(例:Cookieの改ざん)、ビジネスロジックのテスト、低重大度の脆弱性を組み合わせて高重大度のエクスプロイトを作成することなどが含まれます。手動テストでは、以下のよく知られた脆弱性カテゴリを調査します:Open Web Application Security Project (OWASP) Top 10および過去のOWASP脆弱性。

手動テストでは、少なくとも以下の脆弱性カテゴリをチェックします。

OWASP Top 10:

  • インジェクション
  • 認証の不備
  • 機密データの露出
  • 拡張マークアップ言語("XML")外部エンティティ("XXE")
  • アクセス制御の不備
  • セキュリティ設定ミス
  • クロスサイトスクリプティング("XSS")
  • 安全でないデシリアライゼーション
  • 既知の脆弱性を持つコンポーネントの使用
  • ログおよび監視の不備

過去のOWASP脆弱性:

  • 不正なファイル実行
  • 情報漏洩および不適切なエラーハンドリング
  • 未検証の入力
  • バッファオーバーフロー
  • URLアクセス制限の失敗
  • 安全でない暗号化ストレージ
  • トランスポート層保護の不備
  • セッション管理
  • 安全でない直接オブジェクト参照
  • 機密データの露出
  • 機能レベルのアクセス制御の欠如
  • クロスサイトリクエストフォージェリ(CSFR)
  • 未検証のリダイレクトおよびフォワード

修正検証:

Secureworksは、最終レポートに記載された高・重大度の発見事項に対して1回の修正検証(RV)を実施します。最終レポートが提供された後、お客様は90日以内に問題を修正し、RVをスケジューリングし、SecureworksにRVの実施を依頼する必要があります。RVのリクエストは、最終レポートの納品から30日以内にWebサービステストのSecureworks担当者宛てにメールで提出する必要があります。これを過ぎるとRVの権利は失効します。Secureworksは、RVの結果を要約した簡易レポートを発行し、問題が正常に修正されたかどうかの情報を含みます。

注意: Secureworksは、Webサービステストがオンサイトで実施された場合でも、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれる場合があります。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、推奨事項(該当する場合)
  • 関連する詳細および補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出できます。レビュー期間満了前にお客様からコメントがない場合、レポートは最終版とみなされます。

サービス完了時には、お客様が指定した連絡先に対し、Secureworksからセキュア/暗号化されたメールによる確認が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、そのメール確認から5営業日以内にサービスは完了したものとみなされます。

スコーピング情報🔗

アセスメントの購入オプションは、スモール、ミディアム、ラージがあり、Webアプリケーションの種類によって適切なサイズが決定されます。

スコープ 説明
Webアプリケーションセキュリティアセスメント - スモール 最大40のAPIエンドポイントまたはGraphQLアプリケーションのオペレーションタイプを持つ単一のWebアプリケーション。
Webアプリケーションセキュリティアセスメント - ミディアム 最大60のAPIエンドポイントまたはGraphQLアプリケーションのオペレーションタイプを持つ単一のWebアプリケーション。
Webアプリケーションセキュリティアセスメント - ラージ 最大80のAPIエンドポイントまたはGraphQLアプリケーションのオペレーションタイプを持つ単一のWebアプリケーション。

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用で利用可能です。

本サービスの詳細なサービス説明はこちらをご参照ください: Webアプリケーションセキュリティアセスメント

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報はサービススケジューリングをご参照ください。