概要
ブラックボックス検査(主)
対象システムの構成や設定などの情報が開示されていない状態で実際に疑似的な侵入・攻撃手法などを用いて行う
ホワイトボックス検査
対象システムの設計書、仕様書、設定内容などをもとに主に机上で行う
脆弱性検査の必要性
- ホストの要塞化やファイアウォールの設置などによって不正アクセス対策を施しても、作業ぬけや誤りによって重大な脆弱性が内在化する可能性が高い
- 運用期間が長くなるほど、製品の脆弱性が出たり、構成や設定の変更によって脆弱性が内在する可能性が高い
ネットワークを介して疑似的な侵入や攻撃を試みて、サイトの脆弱性の有無やその内容を確認する
脆弱性検査の実施
実施する対象
- OS,サーバソフトウェアの仕様、設定上の脆弱性
ツールによって検査が可能であるが、限界がある - Webアプリケーションの仕様、実装上の脆弱性
サイト自体の独自性があるので検査ツールでは十分ではない
人間による入力項目でチェックし判断する
検査実施後の対処方法
- OS,サーバソフトウェアに対する検査後
直ちに対応する
定期的に行う - Webアプリケーションに対する検査後
直ちに対処するセキュアなアプリケーションの開発手順を確立徹底させる
ファジング
ソフトウェア製品の脆弱性を検出することを目的としたブラックボックス検査手法の一つ
検査対象となるソフトウェア製品に対し、極端に長い文字列や通常使わない制御コードなど、問題を引き起こしそうなデータ(ファズ)を大量に送り込みその応答や挙動を監視する方法である
