aaaiiuie

学習(備忘録)のため運用

情報処理安全確保支援士 5.3 脆弱性検査

5.3.1 脆弱性検査の概要

対象システムの構成や設定などの情報は開示されていない状態で、実際に擬似的な侵入・攻撃手法などを用いて行うブラックボックス検査と、対象のシステムの設計書、仕様書、設定内容を元に主に卓上で行うホワイトボックス検査がある。 ホワイトボックス検査の結果を検証するため、ブラックボックス検査を行う場合もある。

5.3.2 脆弱性検査の実施

脆弱性検査を実施する対象として、「OS,サーバソフトウェア」「Webアプリケーション」の二つが代表的である。

脆弱性検査の対象と実施方法の例
f:id:arakakikikaku427821:20210227134509p:plain
OS、サーバソフトウェアに対するブラックボックス検査の実施イメージ
f:id:arakakikikaku427821:20210227134519p:plain
Webアプリケーションに対するブラックボックス検査の実施イメージ
f:id:arakakikikaku427821:20210227134531p:plain

留意点をいかに示す

  • OS、サーバソフトウェアに対する検査の特徴及び留意点
    • 使用がある程度統一されている市販製品への検査なので基本的な脆弱性ツールによって検査可能である
    • ツールによる検査結果の検証や、ツールでは実施困難な高度な検査を要する場合は、専門技術者による実施が必要
    • DoS攻撃検査などは本番適用に影響を及ぼす可能性が高いため、実施する時間帯などの検討・調整する必要がある。
  • Webアプリケーションに対する検査の特徴及び留意点

    • Webアプリケーションは、サイトによって独自の使用となるため、検査ツールなどでは十分な検査の実施が困難
    • 入力フィールドの意味や各ページの関連性など人間が判断しながら実施する必要がある。
    • 検査の実施により、DBに実際のデータが登録されたり、各種の処理が実行されたりすることになるので、事前の調査、実施後の対処が必要
    • 会員向けページ、管理者向けページなどの検査のためには、検査ようにアカウントを用意する必要がある。

また上記以外にも次のような脆弱性検査を実施する場合もある。

  • データベースに対する脆弱性検査
  • 無線LANアクセスポイントに対する脆弱性検査

検査実施後の対処方法

  • OS、サーバソフトウェアに対する検査の場
    • 発見された脆弱性については直ちに対処するとともに、同じ製品構成のほかのホストにも同様に脆弱性が存在する可能性があるため、確認が必要
  • 市販製品の脆弱性は次々に発見されているから構成・設定などに変更がない場合も定期的に実施する必要がある

  • Webアプリケーションに対する検査の場合

    • 発見された脆弱性については直ちに対処するとともに、そのアプリケションを開発したベンダーによる他のアプリケーションにも同様の脆弱性が存在する可能性が高いため、それを核にする必要がある。
    • 再発防止のために、開発ベンダにはセキュアなアプリケーション開発手順を確立・徹底させる必要がある。