手動脆弱性診断のやり方
手動による脆弱性診断は、セキュリティ専門家がWebアプリケーションやサーバの挙動を実際に操作しながら脆弱性を調査する手法です。まずは、対象システムに関する診断範囲や構成の確認から始まります。対象となるページ、機能、ログインの有無などを把握した上で、システムの管理者へのヒアリングなどを通じて診断計画を策定します。
次に、収集した情報をもとにセキュリティ専門家が手動でさまざまな検証を行っていきます。たとえば、ログイン処理や入力フォームに対して意図的に不正な値を送信し、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性の可能性を確認します。また、ユーザーアカウントごとに異なる権限設定が正しく機能しているか、管理者権限の機能に一般ユーザーがアクセスできないかといった、認証・認可の挙動も重点的に検証します。
セッション管理についても、ログイン後のセッションIDが安全に管理されているか、ログアウト時にセッションが無効化されているかなどを確認し、不正アクセスのリスクがないかを評価します。こうした検証はシステムの仕様やユーザーの操作フローを理解した上で行われるため、ビジネスロジックに依存した脆弱性を発見することができます。
診断の最終段階では、発見された脆弱性ごとにリスクの影響度や再現手順を整理し、報告書にまとめます。報告書には、脆弱性の内容だけでなく、具体的な改修方法や対策方針も記載され、開発者がスムーズに修正を進められるよう配慮されています。必要に応じて、修正後の再診断も実施されます。
手動脆弱性診断の特徴
手動による脆弱性診断には、ツール診断にはない特徴がいくつかあります。最大の特徴は、セキュリティ専門家の知見を活かしながら診断を行う点です。特にWebアプリケーションの認証認可やビジネスロジックに深く関わる欠陥は、ツール診断の静的なルールチェックだけでは見落とされがちですが、手動診断なら検出可能です。
また、結果の精度が高いことも特徴です。ツール診断は誤検知(False Positive)を含むことがありますが、手動診断では専門家が一つひとつ実際に検証するため、報告される脆弱性は信頼性が高くなります。
一方で、手動診断は人手による細やかで高度な検証を行う分、診断にかかる日数が長くなる傾向があり、ツール診断と比べて費用もやや高めの診断方法となります。そのため、すべてのシステムに適用するのではなく、個人情報や決済情報を含むWebサイトを運用している場合や、サイバー攻撃による情報漏えいが企業の信用や事業継続に直結するようなデータを扱っている場合など、より高いセキュリティ水準が求められるシステムに対して手動診断を行うのが効果的です。
「ツール診断(脆弱性診断ツール)について詳しくはこちら
https://www.cscloud.co.jp/vulnerability-audit/knowledge/whats_vaudit_tool/
手動脆弱性診断の優位性
手動による脆弱性診断は、ログイン後の画面遷移やユーザー権限ごとの挙動など、認証・認可に関わる処理やセッション管理の診断を細やかに行えるという優位性があります。セキュリティ専門家がシステムの構造や利用シナリオを把握したうえで柔軟に検証を行えるため、手動診断が優位と言えます。次の項目で詳しく説明します。
認証・認可の脆弱性を発見する精度が高い
Webアプリケーションでは、管理者と一般ユーザなど異なる権限を持つアカウント間で適切なアクセス制御が行われていないケースがあります。たとえば、一般ユーザでも管理画面にアクセスできてしまう、他ユーザーの情報を参照・操作できてしまうといった認可の不備は、深刻なセキュリティリスクにつながります。
こうした問題を検出するには、複数のユーザ権限を切り替えて操作を試みたり、意図的にパラメータを改ざんするなど、状況に応じた手作業が必要です。ツール診断では検査が難しいシナリオも、手動診断なら柔軟に対応でき、高い精度で脆弱性を洗い出すことが可能です。
特にECサイトにおいては、割引コードの二重適用やキャンセル処理後の返金フローなど、ビジネスフローに密接に関わる動作に脆弱性が潜んでいることがあります。こうした仕様上の不整合は攻撃者によって不正に悪用されるリスクがあります。このようなケースでは、あらかじめ仕様を理解したうえで挙動を確認する手動診断が効果的です。
セッション管理の脆弱性を発見する精度が高い
セッション管理に関する脆弱性も、手動診断が得意とする領域です。たとえば、ログイン後にセッションIDが更新されていない場合や、ログアウトしてもセッションが有効なまま残っている場合には、アカウントが乗っ取られたり、会員情報が漏えいする、不正送金されるといった深刻なリスクが発生します。
こうした問題を検出するためには、実際にログイン・ログアウトの操作を繰り返しながら、認証後のセッションIDの再生成が適切に行われているか、複数のデバイスから同時にログインした際に想定通りの制御が働くか、ログアウト後にセッションが完全に無効化されているかなど、細かく観察する必要があります。ツール診断では判定が難しいセッション管理の実装状況を、セキュリティ専門家の手作業により確実に確認することが可能です。
このように、ユーザー操作に伴う一連のセッション管理機能を実際の動作で検証できることは、手動診断ならではの強みであり、より実践的かつ安全性の高いWebアプリケーションの実現につながります。
手動脆弱性診断の費用相場
特徴の項目でも触れましたが、手動脆弱性診断は、セキュリティ専門家がシステムを一つひとつ丁寧に検証するため、診断の精度が高い一方で費用はツール診断と比べてやや高額になる傾向があります。費用は小規模なWebアプリケーションであれば数十万円程度、中〜大規模なシステムや複数のサイトにまたがる診断では100万円以上となるケースもあります。画面数や機能数が多く、診断範囲が広がるほどコストも増加するため、事前に対象範囲を明確にしておくことが重要です。
特に手動診断では、人の手で一つひとつチェックを行うため、検査対象が広くなるほど費用だけでなく時間もかかる傾向があります。そのため、実際の運用ではコストの都合からすべての画面を診断できず、重要度の高い画面に範囲を絞って実施されるケースも少なくありません。しかし、診断から漏れた画面に脆弱性が残っていた場合、それが攻撃の入り口となるリスクもあるため、診断範囲の選定は慎重に行う必要があります。
また、報告書の内容や再診断(修正確認)の有無、打ち合わせの回数、個別の診断項目の追加などにより、見積もり金額が変動する場合もあります。安価で利用できるツール診断とは異なり、手動診断は高精度な検査と対応力を重視したサービスであるため、費用だけで比較せず、精度・実用性・報告内容まで含めて検討することをおすすめします。
特に、個人情報や機密情報を扱うシステム、また外部企業との連携や対外的な安全性証明が求められるシーンでは、多少コストをかけてでも信頼性の高い手動診断を選ぶ価値があります。
手動脆弱性診断にツールも併用して行う
「ハイブリッド診断」とは
手動による脆弱性診断は高い精度を誇る一方で、時間とコストの面で負担が大きくなりがちです。こうした課題を解消する手段として注目されているのが、ツール診断と手動診断を組み合わせた「ハイブリッド診断」です。
ハイブリッド診断とは、まずツール診断によって脆弱性の一次スキャンを実施し、その結果を踏まえてセキュリティ専門家が手動で精査・深掘りを行う診断手法です。ツール診断によって網羅的なチェックを効率よく行い、検出された内容に対して人の判断を加えることで、診断精度とコストパフォーマンスを両立させることができます。
たとえば、OWASP Top 10に代表される一般的な脆弱性についてはツール診断で広範囲にチェックを行い、ログイン機能やビジネスロジックに関する複雑な検証は手動で対応するといった使い分けが可能です。これにより、誤検知や見逃しを最小限に抑えつつ、全体の診断負荷を軽減できます。
さらに、ツール診断の結果を正しく解釈し、適切な対応策を導き出すには専門的なセキュリティ知識が不可欠ですが、ハイブリッド診断であれば診断結果の分析から対応方法の提示までをセキュリティ専門家が担うため、社内に専門的な人材がいない場合でも安心して対応を進めることができます。技術的な解説に加え、実装上の注意点や優先順位の判断など、現場目線での具体的なアドバイスが得られるのも大きなメリットです。
ハイブリッド診断なら
「サイバーセキュリティクラウド脆弱性診断サービス」
サイバーセキュリティクラウドでは、セキュリティ専門家による手動診断と広範囲をカバーできるツール診断を効果的に組み合わせた広くて深い「ハイブリッド診断」を提供しています。ビジネスロジックやセッション管理といったツール診断だけでは対応しきれない領域については、豊富な診断実績を持つセキュリティ専門家が一つひとつ丁寧に検証します。
サイバーセキュリティクラウドの脆弱性診断では、以下のような特長があります。
・セッション管理に特化した診断ツールを自社開発した経験を持つスタッフが診断コンサルタントを担当。複雑な認証・認可の構造やセッション制御に関する相談にも対応可能
・他社にはないセッション管理の脆弱性診断項目で、セッションにまつわるトラブルを徹底的に検証
・診断開始前には、システム環境や要件のヒアリングを実施し、診断対象の規模やリスクに応じた最適な診断方法を提案
・検出された脆弱性の修正作業が適切に行われているかを確認する再診断を1回無料で実施
セキュリティ専任の人材が不足している企業や、高リスクなWebサービスを運用する企業にとって、準備からアフターサポートまで一貫した対応が受けられるのでおすすめです。
