ニュース
「GMOサイバー攻撃ネットde診断for Webアプリ」をリリース~ホワイトハッカーが開発した手軽で高品質なWebサイト向け脆弱性診断ツール~
GMO インターネットグループでサイバー攻撃対策事業を展開する GMO サイバーセキュリティ by イエ
ラエ株式会社(代表取締役 CEO:牧田 誠 以下、GMO サイバーセキュリティ by イエラエ)は 2024 年
10 月 11 日(金)、ホワイトハッカーのノウハウを詰め込んだ手軽かつ高性能な Web アプリケーション脆弱性診断ツール「GMO サイバー攻撃ネット de 診断 for Web アプリ」をリリースしました。
【「GMO サイバー攻撃ネット de 診断 for Web アプリ」について】
(https://product.gmo-cybersecurity.com/net-de-shindan-web/lp1/)
「GMO サイバー攻撃ネット de 診断 for Web アプリ」は GMO サイバーセキュリティ by イエラエに所
属するホワイトハッカーが開発した Web アプリケーション脆弱性診断ツールです。ブラウザから診断したい Web サイトのトップページの URL を入力すると、Web サイト内に存在するページの巡回から脆弱性の検知まで自動で行います。クラウドツールのためダウンロードは不要で、ホワイトハッカーが最新の脆弱性情報や検知ロジックを随時反映するため、いつでも手軽に高精度な脆弱性診断が可能です。
【脆弱性診断の現場から見えた様々な課題】
GMOサイバーセキュリティbyイエラエでは2011年からホワイトハッカーによるWebアプリケーションの脆弱性診断サービスを提供していますが、お客様から「脆弱性診断を第三者に委託するのは稟議や発注手続きなどに時間がかかるのでできる限り内製化したい」「アジャイル開発(※1)を採用しているため小規模だが頻繁にアップデートをしている。その都度脆弱性診断を依頼するのは手間も費用もかかりすぎる」という声をたくさんいただいていました。
Webサイトを常に安全な状態にしておくためには最低でも週1回〜月に1回の診断を推奨しますが、このようなお声をいただき、コスト面で諦めざるを得ないお客様が多くいることに当社では課題感を感じました。
そこでGMOサイバーセキュリティbyイエラエでは長年提供してきたWebアプリケーションに対する脆弱性診断の知見・ノウハウと、国内外のセキュリティコンテストで磨いたセキュリティに関する高度な技術を活用した自動Webアプリケーション診断ツールの開発に取り組み、この度「GMOサイバー攻撃ネットde診断for Webアプリ」としてリリースしました。
(※1)迅速なリリースと継続的な改善を重視する反復的で柔軟なソフトウェア開発手法
【「GMOサイバー攻撃ネットde診断for Webアプリ」診断項目】
「GMOサイバー攻撃ネットde診断for Webアプリ」では以下28項目の脆弱性が検知可能です。診断項目は今後も追加予定です。
| ディレクトリリスティング | 重要な状態データの外部制御 |
| 既知の脆弱性が存在するソフトウェア | 平文による秘密情報の送受信 |
| バージョン情報の検出 | クロスサイトスクリプティング |
| Cookieの不備(HttpOnly) | 送信データによる機密情報の公開 |
| Cookieの不備(Secure) | 任意のコマンド実行 |
| キャッシュ制御の不備 | 不適切な入力処理 |
| データの信頼性についての不十分な検証 | 認可制御の不備 |
| クリックジャッキング | 任意のコード実行 |
| セキュリティヘッダの不備 | バッファオーバーフロー |
| 情報開示 | 書式文字列攻撃 |
| オープンリダイレクト | 整数オーバーフロー |
| サービス運用妨害 | SQLインジェクション |
| Cookie汚染 | パストラバーサル |
| 不適切な入力確認 | 安全でないデシリアライゼーション |
【クローリング機能でWebサイトを探索し自動で診断対象ページをピックアップ】
GMOサイバー攻撃 ネットde診断 for WebアプリではWebサイトのTOPページのURLを入力するだけでその配下のページを自動で探索、診断対象となるページを検出します。また自動クローリングで見落としがちな特定条件下でしか遷移できないページはお客様自身が遷移方法を入力することで診断対象ページとして登録することができ、複雑な分岐や画面遷移にも対応可能です。また将来的にはAIエンジンを活用して、より高精度なクローリング機能を実現する予定です。
【開発秘話と今後の展望に関する記事をブログで公開中】
GMOサイバーセキュリティ byイエラエのコーポレートサイト内ブログでは、現在「GMOサイバー攻撃 ネットde診断 for ASM」「GMOサイバー攻撃 ネットde診断 for Webアプリ」に関する記事を公開しています。それぞれのツールの違いや特徴、今後の展望などを開発者が自ら解説しています。
・国産ASMツール「ネットde診断 ASM」でセキュリティ管理の障壁を下げる!担当者が語る開発秘話(前編):https://gmo-cybersecurity.com/blog/ierae-journal-03/
・脆弱性診断ツール「ネットde診断 for Webアプリ」で脆弱性診断の内製化を実現!担当者が語る開発秘話と今後の展望(後編):https://gmo-cybersecurity.com/blog/ierae-journal-03-2/
【資料ダウンロード】
「GMOサイバー攻撃 ネットde診断 for Webアプリ」の資料請求または製品に関するお問い合わせやお見積りを希望される場合は以下のページからお問い合わせください。
・資料ダウンロード:https://product.gmo-cybersecurity.com/resources/service/doc-web/
・お問合せ:https://product.gmo-cybersecurity.com/contact/web/
【GMOサイバーセキュリティ byイエラエについて】
GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を目指して、各種脆弱性診断、ペネトレーションテスト、セキュリティコンサルタント、SOCサービス、フォレンジック調査まで包括的にサイバーセキュリティ対策サービスをご提供します。
