2018年は新しいことにも目を向けようと思いまして、”脆弱性診断” の体験勉強会に行ってきたので、そのレポートです。
場所は いつもお世話になっている 株式会社神戸デジタル・ラボ (以下、KDLさんと表記します)のセミナールーム、神戸三宮と元町の間の 瀟洒なビルの 10階にあります。
あああ、、 例の煽りポスターが!!
弊社には貼っていないので、実物を初めて見ました(たぶん)
当日の内容はこちら
Webサイトが抱える脆弱性について簡単に説明していただいた後、 OWASP Foundation が中心になって開発している オープンソースの脆弱性検査ツール「OWASP ZAP」を用いて、実際に脆弱性を抱えた検証用のサイトをチェックして、どのように検出されるかを体験しました。
※ OWASP は The Open Web Application Security Project, Webアプリのセキュリティ課題を解決することを目的とする、国際的なコミュニティだそうです。
ネット上の Webサイトに勝手に脆弱性検査を実施すると攻撃と見做されるので 絶対するなよ と 3度ほど注意いただいた後、今回は AWS上に事前申請し、検査元の IPアドレスも限定した 検証用サイトを複数用意していただいているとのことで、このサイトを対象に OWASP ZAPの検査を実際に体験することができました。
これだけの環境セットを用意するのは大変ですし、脆弱性検査を体験できるように 敢えて脆弱性を抱えた状態の Webアプリを作成・デプロイして動作確認するなど、主催者様の事前準備には感謝、頭が下がるばかりです。 KDL様の情報セキュリティサービスは 特に関西圏では広く知られており、日々業務で課題に接しておられるからこそ出来ることだと思います。
そんなこんなで 静的スキャン、ブレークポイント、動的スキャン、Fuzzer(リクエストの一部を攻撃で使用されるような様々な文字列に置き換えてリクエストを自動で繰り返す)、レポート出力といった OWASP ZAP の機能を体験して 脆弱性の例を確認することができました。
弊社では Twelve-Factor App や マイクロサービスの考え方を取り入れてアプリケーションを構築し、AWSの機能をフル活用して出来るだけ脆弱性がリスクに繋がらないように心がけていますが、対策は常に考えておく必要があります。OWASP ZAP のようなツールによる検査は、それだけでは十分と言えませんが、開発・運用サイクルの中に組み込んでいきやすいのではないかと感じました。
個人的にサーバーのお守りは好きでなく、インフラ周りの知見習得を怠ってきた感がありますが、この機会に Vuls のようなインフラ周りの脆弱性スキャナーや WAF (Web Application Firewall) についても勉強していきたいなと思いました。
