OS・言語不問、フルカスタムな検証内容
Windows、macOS、Linux系OSなど、OSを問わずあらゆる言語、プラットフォームの調査が可能です。HTTP/HTTPS以外のプロトコルの調査実績もあります。また、アプリの特性に合わせた検証内容を実施いたしますので、より効果の高さを実感いただけるサービスとなっています。
ご希望に合わせて、ブラックボックステストやグレーボックステストによる診断も可能です。ホワイトボックステストでソースコードを確認した際は、コード上で問題がある箇所と改善策を記載します。これによって脆弱性を確実に修正することができます。
他の検査や診断手法との比較
| 検査手法 | アプリケーション ペネトレーション テスト |
一般的な 脆弱性診断 |
一般的な ソースコード 診断 |
|---|---|---|---|
| アプローチ | ホワイト ボックス |
ブラック ボックス |
ホワイト ボックス |
| 問題箇所の 特定 |
○ | × | ○ |
| 現象の 確認 |
○ | ○ | × |
| 検出できる 脆弱性 の種類 |
広範囲の種類の脆弱性 | 限定的な種類の脆弱性 (主に一般に知られている脆弱性) |
広範囲の種類の脆弱性 |
一般的な脆弱性診断との比較
アプリケーションに対するセキュリティテストで一般的なのは「Webアプリケーション脆弱性診断」です。Webアプリケーション診断は、あらかじめ定められた項目に基づき、診断ツールや手動診断などの手段でシグネチャを送信していくことで、脆弱性の有無を網羅的に調査します。
アプリケーションペネトレーションテストは、Webアプリケーション脆弱性診断とは異なるアプローチで調査を行います。アプローチの特徴は大きく2点あります。
1. ホワイトボックステスト(ソースコード診断)のアプローチ
アプリケーションペネトレーションテストは、ソースコード診断によりシステムの内部構造を把握した上で実施する「ホワイトボックステスト」を実施します。ホワイトボックステストは、お客様から提供いただいた対象アプリケーションのソースコードやドキュメントを基に、システムの内部的な情報を詳細に確認します。より効率的で精度の高い調査が可能になります。
2. ホワイトボックステスト(ソースコード診断)と攻撃者視点を組み合わせた検証
アプリケーションペネトレーションテストでは、ソースコードやドキュメントの調査から検出したセキュリティ上の問題点について、「悪意のある攻撃者の目線」で攻撃を実施することで、その問題点が実際に悪用可能なものかどうかを検証します。
具体例から見るアプリケーションペネトレーションテストの効果
ブラックボックステストのみでは効果的なテストが難しいアプリケーションや機能についてもテストが可能
「特定のタイミングでのみ動作する機能」や「長時間使用していないと解禁されない機能」など、ブラックボックステストでは機能の存在に気付くこと自体が困難な機能も、ホワイトボックステスト(ソースコード診断)のアプローチであれば、ソースコード全体を調査することで特定の条件下で発生する挙動を把握し、その上でセキュリティリスクの有無を調査可能です。
検出した脆弱性に対する改善策を提案
ソースコードを診断対象とすることで、問題の原因箇所をピンポイントで指摘し、具体的な改善策を提案します。
再診断による改善状況の確認
お客様が修正したソースコードについて、「検出した脆弱性を利用した不正行為を防げているか」「修正したことにより新たな不正行為が可能になっていないか」を確認します。
報告書サンプル
ラックだからこそできるソースコードレベルでの指摘を含めた具体的な改善報告書を納品します。
攻撃影響度の判定
価格
対象アプリの概要やソースコードの規模(API数やソースコードのStep数)などヒアリングを実施後、個別にお見積もりします。お気軽に問い合わせください。