基礎知識
-
Q
WEBセキュリティ診断くんは どのようなツールですか?
A
WEBアプリケーションの脆弱性を診断しどのページでどのような脆弱性があり、どんなリスクが発生するか、どのように対応するべきかを表示するツールです。
セキュリティ診断(脆弱性診断)のサービスとしては、自動診断ツールになります。
-
Q
診断くんは自動診断と手動診断のどちらですか?
A
ツールによる自動診断になります。
-
Q
自動診断と手動診断とどう違うのですか。
A
自動診断では、条件分岐を含む診断ができかねます(複雑なオペレーションができないのが自動診断になります。)
手動診断は、ホワイトハットハッカーと呼ばれるようなサイバー攻撃やセキュリティに詳しい専任の技術者が、実際に一つ一つ手を動かして診断作業を行う手法になります。
-
Q
リスクはどのように定義・分類されていますか?
A
情報処理推進機構(IPA)が定義した情報セキュリティのCIAをもとに「情報漏洩」「フィッシング」「なりすまし」「サービスダウン」の4つに分類されています。
-
Q
リスクとは何ですか?
A
脆弱性を放置しておくと発生する可能性のあるトラブルをリスクとしています。
-
Q
脆弱性とは何ですか?
A
WEBサイトのプログラムに潜むセキュリティ上の問題を指します。
-
Q
OWASPとは何ですか?
A
OWASP(The Open Web Application Security Project)とは、Webアプリケーションを取り巻く課題の解決を目指すオープンなコミュニティです。
主な取り組みの1つとして「OWASP Top 10」の公表が挙げられます。
これはWebアプリケーションにおけるリスクの種類をランキング形式で公表するものであり、2021年に公表された「OWASP Top 10 – 2021」では、1位が「アクセス制御の不備」、2位に「暗号化の失敗」、そして3位には「インジェクション」が挙げられています。