お客様のビジネスシステムを支える様々なソフトウェアをワンストップでご提供

プロダクト product

SCT SECURE 'SWAT' 監視型脆弱性診断サービス Webセキュリティ診断 サービス

これまでの診断ソリューションの欠点を克服したサービス

SCT SECURE SWATは、世界初の'監視型'のウェブアプリケーション脆弱性診断ソリューションです。ウェブアプリケーションを継続的に監視し、アプリケーションに生じた変化を検知します。変化した箇所に対して即時に脆弱性診断を実施、常にウェブサイトをセキュアに保つための対策情報を提供します。SCT SECURE SWATは、手動によるチェックと自動ツールによるスキャンを使い分け、本番環境に影響を与えることなく、アプリケーション全体の詳細な脆弱性診断を可能にしました。

クイック解説動画

ウェブアプリケーション・セキュリティとその課題

通常、ウェブアプリケーションの脆弱性診断の手法として、手動によるワンタイム診断と、ツールによる自動診断があります。手動と自動、それぞれに長所と短所があります。

ウェブアプリケーション診断の特徴
手動診断 自動診断
長所
  • アプリケーションロジックも含めた詳細な診断が可能
  • 本番環境を想定した診断が可能
  • 低コストで高頻度の診断が可能
  • 自動クローラーの性能の範囲でくまなく診断するため、網羅性が高い
短所
  • コスト高のため、実施頻度を抑える必要がある
  • アプリケーション全体の一部を診断することが多い
  • アプリケーションロジックなどの詳細な診断ができない
  • 本番環境でもテスト環境でも同じ診断を行う

コストが高い手動診断は、ウェブアプリケーションの一部を抜粋して診断するケースが多く、また実施頻度も抑えられがちです。このため手動診断では、絶えず増え続ける脆弱性リスクの継続的な管理ができません。これに対し、自動診断は、低コストで高頻度の診断が可能ですが、ウェブアプリケーションの構成によっては、診断できない箇所が残る可能性がありました。

監視型診断ソリューションSCT SECURE SWAT

SCT SECURE SWATは、「監視型脆弱性診断」というコンセプトに基づき、継続的、網羅的、詳細なウェブアプリケーションの診断を実現しました。まず、ウェブアプリケーションの構成を調査した上で網羅的な脆弱性診断を実施します。その後、ウェブサイトの変化を絶えず監視し、なんらかの変化(ページ数が増えた、送信フォームのフィールド数が増えた、フォームの内容が変更されたなど)を検知すれば直ちに診断士が確認・診断し、危険度の高い脆弱性検知時にはこれを報告します。

常時ウェブアプリケーションを監視することで診断の空白期間をなくし、ウェブサイトのセキュリティレベルを保つために不可欠な情報を提供します。手動診断の深さと、自動診断の網羅性と継続性、二種類の診断手法それぞれが得意とする範囲をカバーするソリューションです。

SWAT_scan_coverage.png

最低限の運用コストで精確な診断を提供

SCT SECURE SWATは、お客様に運用負荷を最低限に抑えた、ゼロタッチ・ソリューションです。デプロイメント、メンテナンス、すべてをSWATのセキュリティ専門家が行います。お客様に煩雑な設定や導入作業を行っていただく必要はありません。SWATは、最先端のウェブアプリケーション診断ツールとウェブセキュリティ専門家を組み合わせたサービスです。検知した脆弱性に対して確認用の診断と誤検知処理を行い、誤検知の無い診断結果を提供します。

SWAT_overview.png

監視と診断で脆弱性リスクを最小限に

低頻度の、たとえば年一回の手動診断では、次の診断が行われるまでに改修が入ったり、新しい攻撃手法が発見されたりといったリスクの増大に対処することができません。自動診断は高頻度の診断が可能ですが、詳細な診断ができず、これもセキュリティレベルを一定の水準に保つことはできますが、ある種のリスクを放置することにつながります。SCT SECURE SWATはこの二種類の手法を組み合わせ、さらに監視というコンセプトを取り入れることで、脆弱性リスクを極小に抑えることが可能なサービスを実現しています。

SWAT_manual_auto_comparison_chart.png

診断項目

SCT SECURE SWATは、予想されるリスクに基づいて診断項目を分類します。

  1. コード実行
    攻撃者にシステム上でコードを実行可能にする脆弱性
  2. クライアントアクセス
    アプリケーションまたはサービスの脆弱性を利用したクライアントへの間接的なアクセス
  3. データロス
    アプリケーションまたはシステムの予期されない挙動による機密情報の開示
  4. DoS
    アプリケーション・サービスの妨害、クラッシュ
  5. アクセス獲得
    実行ユーザー権限からのシステムまたはアプリケーションへの不正なアクセス
  1. セキュリティ・バイパス
    認証などの権限管理や入力フィルターなどの予防的機能の回避
  2. 情報獲得
    顧客情報、エラーメッセージ、内部ネットワーク情報など、アプリケーションまたはサービスからの予期されない情報収集
  3. データ操作
    権限のないデータ改変
  4. 権限昇格
    攻撃者にシステム内の権限昇格を可能にする脆弱性
  5. その他
    上記以外のすべて

実際の導入事例

SWATの導入事例を掲載しました。

こちらからどうぞ。

関連する製品