Webサイトを診断することになった それで結局何をすればいいのか

 2020.06.19  三和コムテック

会社の方針で、お取引先からのセキュリティチェックで、監査の指摘で、Webサイトの診断をすることになる企業も少なくないと思います。

いきなり、診断をするように言われても、セキュリティ担当でも情シス担当でもないので、結局何をすればいいのかよくわからないというご相談をよくいただきます。

今回は、Webサイトを診断することになったけれど、何をすればいいかよくわからないという方向けに、何をしたらいいのかまとめました。

Webサイトの診断をすることになったら

とりあえず、Webサイトの弱いところから潰していくために、診断を実施することになった場合、以下を決めていきます。

  1. 診断範囲・優先順位を決める
  2. 診断種類・レベルを決める
  3. いつまでに終わらせるかを決める

1.診断範囲・優先順位を決める

まずは、今回の診断の範囲を決めます。

コーポレートサイトの他に、サービスとして提供しているサイトや社内やりとりで利用しているサイト等、持っているWebサイト診断対象を洗い出します。

web.png


次に優先順位を決めます。
理想としては、持っているWebサイトは、すべて診断したほうがいいのですが、費用・時間・労力を考えて、優先順位をつけて実施することをおすすめします。

優先順位が高くなるポイントは、「個人情報や決済など重要な情報を扱う」「インターネット上に公開されている」です。

重要な情報を扱う場合、一度情報が漏洩すると、社会的信用、ひいてはサービスの存続にも関わります。
昨年、某コンビニの決済アプリで情報漏えい事故があり、その後サービスを終了したのはまだ記憶に新しいと思います。

また、インターネット上に公開されており、不特定多数の人がアクセスできるWebサイトは、攻撃者にもアクセスしやすいということになります。

web2.png

具体的な優先順位の付け方例は以下です。

    • お客様にインターネットからアクセスしてもらい、個人情報を入力してもらうWebサイト
      • 「個人情報や決済など重要な情報を扱う」「インターネット上に公開されている」ので、優先順位としては非常に高くなります。

 

    • 社内でのみアクセスでき、社内の人のみが利用する重要な情報を扱わないWebサイト
      • 「個人情報や決済など重要な情報を扱わない」「インターネット上に公開されていない」ので、優先順位としては低くなります。

 

しっかりと診断範囲・優先順位を決めることで、あとから増やす/減らすとなったときの軸をつくることができます。
さらに一歩踏み込んで、Webサイトの中でも重要情報を扱う機能(ログイン、決済、登録、更新等)、ページを洗い出しておくと、一層この後の工程がスムーズに進みます。

 

2.診断種類・レベルを決める

Webサイトの診断の分類は、いくつかありますが、今回は①診断する層②診断手法に分けて決めていきます。

 

①診断する層
Webサイトの場合、普段利用者が見ているページ「Webアプリケーション層」と、Webアプリケーションを乗せているサーバー「ネットワーク層(プラットフォーム)」に分けられます。

web_net.png

Webアプリケーション層の診断では、たとえば、ログイン画面のパスワード欄に情報を抜き出す命令を書いたときに、パスワード情報を抜き出すことができるかどうか検査します。

ネットワーク層の診断では、たとえば、サーバーで使っていないのに開けっ放しになっているポートがないか、古いバージョンを使っていないか検査します。

診断を依頼する場合、どちらの層もセットになっているサービスもありますが、別々になっているサービスも多いので、確認することをおすすめします。

基本的には、Webアプリケーション層は診断しますが、ネットワーク層も診断するかどうか、決めておくと良いです。

②診断手法
Webサイトの診断手法は、大きく分けて2つあります。
専門の診断士が手作業メインで診断を行う「手動診断」、診断ツールで自動的に診断を行う「自動診断」です。

manual_auto.png2

Webサイトのつくりに合わせて検査できる手動診断ですべて診断するのが理想ですが、現実的には費用・時間・労力が非常にかかるので、1で決めた優先順位と以下を参考に手法を決めていきます。
手動診断をしたほうがいいWebサイト

  • 個人情報や決済など重要な情報を扱うWebサイト
    個人情報や決済など重要な情報を扱うWebサイトに関しては、1で決めた優先順位を軸にします。
  • 新しくリリースする予定のWebサイト
    ユーザーに安全に利用してもらうために、リリース前に徹底的に診断しておくのが良いです。
    せっかく立ち上げたWebサイトをセキュリティ事故で台無しにしないためにもしっかりとチェックしておきます。

自動診断がおすすめなWebサイト

  • 重要な情報は扱っていないが、インターネット上に公開しているWebサイト
  • 過去に手動診断を受けたことがあるWebサイトを頻度高く診断したい場合は、自動診断が良いです。

さらに、手動診断を実施する場合、すべてのページを診断できれば安心ですが、予算や時間の関係もあり、現実的には難しいこともあります。
そのような場合は、ログイン/ログアウトページ、新規会員登録ページ、決済ページ等、重要な情報を扱うページ等、重要な情報を扱うページ・機能にフォーカスして、対象を絞ることもできます。

自社のWebサイトにはどの手法がいいかわからない、どのページ・機能をした方が良いかわからない場合は、依頼する診断業者にアドバイスを受けるのも良いです。

 

3.いつまでに終わらせるかを決める

いつまでに診断結果が出て、Webサイトの修正が完了している状態にしていたいか、だいたいのスケジュール感を持っておくと、診断業者側としてもスケジュールの確認がしやすく、希望の時期に診断できる可能性が高まります。

 

特に手動診断の場合、診断士の割り当てもありますので、希望の時期がある場合は、早めにスケジュールを共有しておくことが重要です。

また、リリース前のWebアプリケーションを診断する場合、リリース予定日から逆算して、スケジュールを立てることが重要です。
診断期間、結果が出るまでの期間だけではなく、ある程度修正すべき点が見つかることも考慮して、修正の時間も十分に確保しておく必要があります。

直前になって慌てることがないように、いつから開始すれば良いのか、しっかりと確認しておきましょう。

schedule.png

Webサイトの診断に限らずですが、いつまでに終わらせるか決めておくことで、スケジュールが伸びに伸びて結局いつまで経っても終わらないという状況を防ぐことができます。

 

まとめ

今回は、Webサイトを診断することになったけれど、何をすればいいかよくわからないという方向けに、何をしたらいいのかまとめました。

  1. 診断範囲・優先順位を決める
  2. 診断種類・レベルを決める
  3. いつまでに終わらせるかを決める

Webサイトの診断をすることになった場合、ぜひ参考にしていただければと思います。
SCT SOLUTION BOOK
IPAがテレワークから職場に戻る際のセキュリティ上の注意事項を公開
埋め込みチャットを始めてみませんか?

RECENT POST「セキュリティ」の最新記事

セキュリティ

2024.04.24

実際にあった!?OSS脆弱性の怖い話
セキュリティ

2024.04.01

新たなサプライチェーンリスク(OSS脆弱性)にご注意を!
セキュリティ

2024.02.26

EBOM vs MBOM vs SBOM 主な違いとベストプラクティス
セキュリティ

2024.01.25

対岸の火事ではない!、英国史上、最大の冤罪事件
Webサイトを診断することになった それで結局何をすればいいのか
ブログ無料購読のご案内

RECENT POST 最新記事

実際にあった!?OSS脆弱性の怖い話

実際にあった!?OSS脆弱性の怖い話
IBM iに多要素認証を実装!不正アクセスの原因、多要素認証のメリット・デメリットとは?

IBM iに多要素認証を実装!不正アクセスの原因、多要素認証のメリット・デメリットとは?
閉域網のビジネスチャットとは?導入するメリット・デメリットを解説

閉域網のビジネスチャットとは?導入するメリット・デメリットを解説
業務自動化とは? 自動化に向いている業務や自動化が実現できるツール

業務自動化とは? 自動化に向いている業務や自動化が実現できるツール
自治体でビジネスチャットの導入が増えている理由とは?導入するメリット

自治体でビジネスチャットの導入が増えている理由とは?導入するメリット

RANKING人気記事ランキング

SEARCHブログ内検索

  • 検索フィールドが空なので、候補はありません。

Copyright ©2024 Sanwa Comtec KK. All rights reserved.

個人情報保護方針 お問い合わせ

PAGETOP