地域金融A様 の事例
ペネトレーションテスト
Contact
-
問合せ
- 既に脆弱性診断を実施したWebサイトを対象に、ペネトレーションテストの実施を依頼したい。
主な目的としては、脆弱性診断で検出された脆弱性が実際に攻撃に利用可能かどうかを検証することに加え、サイト全体の安全性をより深く把握したい。
Solution
課題
脆弱性診断結果を照らし合せながらヒアリングすると、新たな課題が浮上しました。
- お客様のWebサイトには、通常の自動診断ツールでは十分に検査できない複雑な機能が実装されていた
- ファイルアップロード機能など、誤った実装があった場合に高リスクとなる機能が存在していた
- 単純な脆弱性診断の結果に基づくペネトレーションテストだけでは、実際の攻撃者が狙う可能性のある攻撃経路を見落とす可能性があった
- お客様は自社Webサイトの真のセキュリティレベルを正確に把握し、具体的な改善策を求めていた
これらの課題を解決するため次の提案をしました。
提案
お客様のニーズに応えるため、以下の拡張されたペネトレーションテストアプローチを提案しました。
1. 脆弱性診断結果に基づくペネトレーションテスト
- 検出された脆弱性の実証(Proof of Concept)
- 脆弱性の影響度と実現可能性の評価
2. 機能ベースのペネトレーションテスト
- Webサイトの全機能を洗い出し、攻撃対象となり得る機能を特定
- 自動診断では検出困難な論理的脆弱性の検証
- ファイルアップロード機能、ユーザー権限管理、セッション管理などの重点検証
3.実際の攻撃者視点に基づく攻撃シナリオの作成と検証
- 複数の脆弱性を組み合わせた高度な攻撃経路の検証
- ビジネスロジックの欠陥を悪用した攻撃シナリオの実証
Result
ペネトレーションテストの実施により、通常の自動診断だけでは見落とされがちな脆弱性や、アプリケーション固有のロジックを悪用するリスクを洗い出すことに成功しました。
実際に攻撃を試行する過程で得られた知見をもとに、リスクの深刻度を定量的・定性的に把握し、優先順位を明確にすることで効果的な対策が可能になりました。さらに、深度の高い攻撃検証を行ったことで、リリース後の運用時に想定外のインシデントが発生するリスクを大幅に低減できただけでなく、利用者や取引先に対する安心感と信頼度の向上にもつながりました。
