Web Application Security Testing
Webアプリケーションは、組織のデジタル攻撃対象領域のかなりの部分を占めています。 これらのプログラムは、多くの場合、一般に公開されるように設計されていますが、機密データや貴重な機能へのアクセスを提供します。
これらのアプリケーションのセキュリティギャップや弱点は、データ侵害やその他のセキュリティインシデントのリスクをもたらします。 Webアプリケーション・セキュリティ・テストは、Webアプリケーションの潜在的な脆弱性を特定し、これらのWebアプリケーションを保護するセキュリティ制御の有効性を測定するように設計されています。
Webアプリケーション・セキュリティ・テストの重要性
企業には、 アプリケーション・セキュリティ(AppSec) プログラムの背後にさまざまな推進力があります。 Webアプリケーションの脆弱性は、企業のコストと評判を損なうセキュリティインシデントにつながる可能性があります。 規制コンプライアンス要件では、通常、特定のセキュリティ制御の使用と、これらの制御の定期的な評価が義務付けられています。
Webアプリケーション・セキュリティ・テストは、組織がセキュリティ・リスクを管理し、規制要件へのコンプライアンスを達成するのに役立ちます。 テストでは、通常、脆弱性を検索したり、特定の脅威やコンプライアンス要件に対処するために設計されたターゲット シナリオに焦点を当てたりできます。
Webアプリケーション・セキュリティ・テストのしくみ
一般に、Webアプリケーションのセキュリティテストの目的は、 OWASP Top 10などのさまざまなサイバー脅威に対する組織のWebアプリケーションの脆弱性を判断することです。 そのために、テスターは、サイバー脅威アクターが組織のWebアプリケーションを標的にするために使用するツールと手法をエミュレートします。
通常、Webアプリケーションのセキュリティテストは、企業自体が実施するか、サードパーティプロバイダーとの正式な契約の一環として実施されます。 評価の最後に、テスターは調査結果を組織に報告し、特定された懸念のある脆弱性に対処できるようにします。
Webアプリケーション・セキュリティ・テストの種類
Webアプリケーション・セキュリティ・テストは、 ソフトウェア開発ライフサイクル (SDLC)のさまざまな段階で、いくつかの異なる方法で実行できます。 Webアプリケーションのセキュリティテストの一般的な形式には、次のようなものがあります。
- SAST: 静的アプリケーションセキュリティテスト (SAST)は、アプリケーションのソースコードを分析して、潜在的な脆弱性を特定します。 実行可能なアプリケーションを必要としないため、コードのコミットがリポジトリに受け入れられる前の自動テストの一部としてなど、SDLCの早い段階で適用できます。
- DAST: 動的アプリケーション・セキュリティ・テスト (DAST) は、実行中のアプリケーションの動作を分析し、さまざまな正当な入力、悪意のある入力、または不正な形式の入力を渡すことで、脆弱性の特定を試みます。 DASTは実行中のアプリケーションを必要とするため、SDLCの後半(通常はテスト・フェーズ)で使用されます。
- 鑢: ランタイム アプリケーション セルフプロテクション (RASP) は、運用アプリケーションに適用されるセキュリティ ツールです。 インストルメンテーションを使用して、アプリケーションの入力、出力、および動作を監視し、アプリケーションの動作への影響に基づいて潜在的なエクスプロイトを特定します。
- ペネトレーションテスト: ペネトレーションテスト は、本番アプリケーションのセキュリティ脆弱性を人間が主導して評価することです。 ペネトレーション・テスターは、アプリケーションの脆弱性を特定して悪用しようとしますが、多くの場合、データベースに保存されている機密データへのアクセスなど、事前に定義された目標を追求します。
Webアプリケーション・セキュリティ・テストの利点
Webアプリケーション・セキュリティ・テストは、組織に次のような多くのメリットをもたらします。
- 脆弱性 Detection: Webアプリケーションのセキュリティ・テストは、組織のWebアプリケーションの脆弱性を特定しようとするものです。 そうすることで、企業は攻撃者に悪用される前にこれらのギャップを埋めることができます。
- リスク評価: また、セキュリティテストにより、組織はサイバー攻撃にさらされている現状をより具体的に理解することができます。 これにより、組織はセキュリティギャップの解消やサイバーセキュリティ保険の購入など、このリスクを管理するための措置を講じることができます。
- 専門家のガイダンス: セキュリティテストチームと連携することで、組織はその分野の専門家にアクセスできます。 この専門知識を活用することで、組織はサイバーセキュリティインフラストラクチャを最適化または改善する方法を見つけることができます。
- 実行可能な推奨事項: セキュリティ テスト担当者は、多くの場合、特定したセキュリティの問題を軽減するための推奨事項を提供します。 これにより、組織はセキュリティ体制の改善に向けて測定可能な進歩を遂げることができます。
Webアプリケーション・セキュリティ・テストの成果物
セキュリティテストは、社内またはサードパーティプロバイダーによって実行できます。 探すべき成果物には、次のようなものがあります。
- エグゼクティブサマリー: セキュリティー・テストの最終レポートには、多くの場合、ハイレベルなエグゼクティブ・サマリーが含まれます。 これにより、テストの結果が強調表示され、技術者以外の上位レベルの利害関係者が必要とする情報が提供されます。
- 脆弱性の詳細: エグゼクティブサマリー以外にも、レポートにはテストとその結果の詳細な説明が必要です。 これには、実行されたテスト、特定された脆弱性、およびこれらを軽減するための推奨事項が含まれる場合があります。
- ライブ報告会: テスターは、クライアントにライブの報告会を提供することもできます。 これにより、顧客はテストの結果を確実に理解し、レポートに関する質問をすることができます。
IGSによるWebアプリケーション・セキュリティ・テスト
Web application security testing is a critical component of any organization’s cybersecurity program. Check Point’s Check Point Services (IGS) offers penetration testing support to help organizations find and fix security gaps in their web applications. To learn more about security testing with IGS, contact a Check Point security expert today.
