Last Updated on 10月 7th, 2019, By
 In AppSealing Blog, AppSealing News

Pentesting vs Vulnerability

脆弱性検査と侵入テストは、混同しやすい概念です。セキュリティ専門家の中にも、これを同一の概念として捉える者がいます。結論から言って、二つの方法のうち一つだけを使用して検証した結果をもとに、モバイルアプリケーションが完全に安全だと判断する失敗は、避けなければなりません。モバイルアプリとアプリケーションのセキュリティ戦略において、二つのアプローチはどちらも必要であり、包括的なリスク解析とアプリケーション全般の保護を達成するよう設計することが最も重要です。この二つのアプローチは、アーキテクチャとネットワークの脆弱性に関するセキュリティリスクを避ける重要な役割を果たします。

モバイルアプリとアプリケーションのセキュリティ脆弱性を把握し、全般的なセキュリティを拡大するためには、二つのアプローチの違いを理解し、補完する方法を見出すことが大変重要です。

定義と範囲

侵入テストは、応用プログラムのセキュリティホール、危険要素、抜け穴の検査に役立ちます。セキュリティ専門家は、危険なコードの挿入、SQLの挿入、パラメーター化、権限のない入力などの攻撃を実行し安全でないビジネスロジックとして悪用される可能性のある不適切なセキュリティ措置を、識別・評価します。また、評価結果を利用し、開発チームはセキュリティホールを削除することでアプリケーションをより安全に制作することができます。侵入テストは自動的に実行されず、一般的に多くの経験を持つ専門家によって手動で行われます。

それに対し、脆弱性検査は、広く知られている脆弱性を確認する過程で、自動化も可能となります。これは、一般的にファイアウォール、ルーター、サーバーなどのアプリケーションとネットワークレベルで実行されます。トラフィックをモニタリングしてマルウェアを検知し、セキュリティホールを識別しますが、同じ方法を攻撃手段として用いるテストは行いません。前述した侵入テストとは異なり、脆弱性検査は広範囲にわたって定期的に実行されます。脆弱性検査プログラムは、セキュリティリスク検査にのみ役立ち、効果的なセキュリティフレームワークを設計するためには、侵入テストが並行されなければなりません。

上述のように、適切に実行された侵入テストはアプリケーションの脆弱性の識別に役立つだけでなく、セキュリティリスクがビジネスに及ぼす影響を把握するためのインサイトを提供します。そのため、侵入テストにより企業は未知の脆弱性を発見し、脆弱性検査を活用して措置した内容を把握するプロセスを繰り返すことで、安全なアプリケーションを制作することができます。

どの方法を選択していつ実行すべきか

脆弱性検査と過去に被った攻撃から学習した内容をもとに、定期的に実行しなければなりません。この方法は、よく知られた潜在的セキュリティリスクの検知により効果的で、特にネットワークに関しては、脆弱性検査過程を通して綿密に調べなければなりません。作成された脆弱性レポートは、その項目に優先順位を付けて、開発チームに共有され、適切な措置を取れるようにしましょう。

侵入テストは、実際にサーバー攻撃をシミュレーションし、様々な技術を用いて防御システムを攻撃し、防御システムの弱点を探し出すことを目的としています。侵入テストの実行者は、倫理的ハッキングを実行してアプリケーションセキュリティ機能の制限をテストし、実際のシナリオで様々な攻撃に耐えられるかをチェックします。このような事前点検の過程を通し、企業はセキュリティホールを修正することで、サーバーインターフェースやAPIをより安全に設計することができます。基本的に、侵入テストはセキュリティホールを発見する範囲を拡大するというよりも、攻撃の質をより重要視します。

侵入テストは、一般的に下記の5つの段階で実施されます。

  1. 偵察-目標のアプリケーションに関する情報を収集します。
  2. 探索-アプリケーションを検査してセキュリティリスクに関する詳細情報を確認します。
  3. アクセス権限を取得-1、2段階によりアプリケーションの脆弱性を探し出し、悪性コードを挿入してデータにアクセスできる権限を取得した後、これを利用して攻撃を実行します。
  4. アクセスを維持-アプリケーション内のアクセス権限を維持し、多くの攻撃を実行します。
  5. 追跡防止-知能的な攻撃者は、自らの痕跡を残さないようログ、収集されたデータなどのアクセス履歴をすべて削除します。

アプリを完璧にする

まず、チームはアプリケーションが持つ潜在的なリスクを全般的に理解するため、脆弱性検査を行います。こうして作成された潜在的脅威リストは、開発者に渡ります。その後、特定の攻撃シナリオを理解し、直接侵入テストを実施します。ターゲットになるアプリケーションの脆弱性を利用したこのような評価は、開発チームがセキュリティリスクをパッチするための戦略を確立・発展する際に大変役立ちます。また、ビジネスロジックの脆弱性やゼロデイ攻撃の脅威などの予期せぬリスクの発掘に役立ちます。結果的にこの過程は、時間と費用を節約し、ビジネスIPを保護する役割を果たします。

継続的な脆弱性検査とタイムリーな侵入テストの実施は、重要な情報とネットワークセキュリティ維持において必要不可欠です。また、このようなプロセスは、効果的かつ未来志向的な成熟したセキュリティ戦略の確立に役立ちます。

アプリケーションのセキュリティを評価して脆弱性を検知することは容易ではありますが、アプリケーション実行時に発生する攻撃を検知・遮断するためには、ランタイムアプリケーション自己防御ソリューションが必要です。

複雑な決定を下す際に役立つリアルタイムモニタリングダッシュボードを使って、アプリケーションの既知の脅威とともに、潜在的なリスクを遮断するAppSealingをご利用ください。

今すぐ無料トライアルをお試しください。http://bit.ly/signup-free-trial-appsealing

AppSealing
AppSealing
AppSealingはコードを作成せずにモバイルアプリを保護できるとともに、リーズナブルな価格(使った分だけ支払う)の、クラウドベースのセキュリティソリューションです。AppSealingは手軽に使用でき、ハッカーの不法なアプリ偽造・変造行為を遮断するランタイムアプリケーション自己保護(RASP)セキュリティを提供し、アプリケーションの実行時に様々なハッキング攻撃からあなたのアプリを守ってくれます。

Leave a Comment

AppSec Mistakes Part 2 Ignoring Risks in Open Source Libraries