スマートフォン解析 top

TOP > お問い合わせ

タイガーチームサービスへのお問い合わせ

Q1. 貴社の脆弱性診断では実際に侵入行為を行なうのですか?貴社の「疑似」侵入診断と実際の侵入の違いが良くわかりません。(リアルハッキング?)

一言で申し上げますと、「擬似」プラットフォーム診断ではお客様のシステムに対して「実害を及ぼさない範囲」で、検出した脆弱性の「確からしさ」を検証することを第一の目的としています。

一例としまして、診断会社の中には診断前に確認を行った対象以外のホストにアクセスして情報の一部を書き換え、それによって診断対象ホストに侵入すると言った「ビーチフラッグ」的な「侵入することを主たる目的とする」行為を行う診断会社があるようです。
しかし弊社では、あらかじめ取り決めた診断対象以外のお客様のホストにアクセスすることはございませんし、「侵入することを主たる目的」とするのではなく、「脆弱性の検出を目的」とした攻撃(=診断項目)を実施致します。
また別の例として、(前文の後半部分に関連しますが)推測可能なパスワードが設定されているという脆弱性が検出された場合、そのパスワードを使って認証サービスにログインした後、ファイルを改ざんしたりサービスを停止して見せる等、「どこまで悪さが出来るか」を試す診断会社もあると聞いています。しかし弊社ではこの場合、判明したパスワードを使ってログインできるところまでは検証致しますが、推測可能なパスワードが設定されているという脆弱性に対処する(暫定対策及び恒久対策)事がお客様にとっては最優先課題であると考えますので、その後のファイルの書き換えやサービス停止といった実害を及ぼす診断は、一切致しません。

Q2. 脆弱性スキャナのレポート分析により脆弱性が明らかになると思いますが、疑似侵入試行を行うことにより、具体的には何がわかるのですか?(脆弱性がもたらす脅威を実証するため?)

弊社でもスキャナを使用していますが、スキャナは自動ツールであるが故、一般的に次の3つの短所を持っています。
1.誤検出(False Positive)
2.検出結果の整理が出来ない
3.検出モレ (False Negative)
したがいまして、レポート分析後の擬似侵入の試行プロセスにあたっては、上記の短所を手動診断によって補うことにより、より精度の高い脆弱性の検出結果を得ることを目的としています。

1.誤検出(False Positive)
ツールは積極的に間違えます。つまり、実際には脆弱ではないものを脆弱であると検出してしまいます。

2.検出結果の整理が出来ない
パターンマッチング処理により、脆弱であると判断した事象を全て機械的に報告しますので、事象間の関連性を整理することが出来ず、一つの対策で解決する脆弱性であったとしても、複数の脆弱性として検出してしまいます(例:1個の脆弱性を30個として報告してしまう等)。

3.検出モレ (False Negative)
ツールにはお客様固有の情報(Whois情報やホームページで一般公開されている情報等)を認識することは勿論の事、診断対象システムの機器構成を認識することができません。よって、会社名がパスワードになり得たり、診断の過程で判明する「対象ホストAを踏み台にした対象ホストBへの攻撃の可能性」と言った(人間であれば直感的にわかる部分を)脆弱性の検出の手段として利用することができません。

ここで、脆弱性について整理しますと、「脆弱性」とは不正アクセス(=攻撃、侵入行為)等の「脅威」と結びついて「実害」となり得るポテンシャルな弱点のことです。
  脅威 + 脆弱性 = 実害
ところが、診断の中でお客様のシステムに実害を出す訳には参りません。

したがいまして、プラットフォーム診断によって脆弱性を検出し、優先順位を付けて対策していただく訳ですので、診断では「実害」を出さない範囲で擬似侵入試行を行うことにより、お客様システム内に潜在的に存在する脆弱性を「精度良く」検出する必要があるのです。これには高い技術力が要求されます。

繰り返しになりますが、プラットフォーム診断は手動診断により「リアルな攻撃」をやり過ぎてもいけませんし、逆にツールだけに頼ってしまっては確実でモレの無い診断を実施することが出来ません。換言しますと、前者はお客様による診断後の(余計な)復旧コストをかけることになり、後者は無駄な対策コストをかけてしまうことになります。弊社としましては、『高い技術力に裏付けされた、より品質の高い診断』をご提供することによって『より精度の高い結果』をお伝えし、結果としてお客様における『より効果的な対策』につなげていただくことを第一に考えております。

Q3. 優秀なハッカーが一人いれば診断サービス自体が高い品質を保てると思いますが、何故、診断サービスにQMS(ISO9001の品質認証)が必要なのですか?

もしも、優秀なハッカーをより多く集め、それぞれが得意分野とする能力を効率的に引き出す事ができる組織としての「チーム」を構成することが出来れば、堅牢なシステムを対象としたハッキングが成功する確率は確かに高まると思います。この点に関しては異論はございません。
但し、上記の仮定とご質問の想定とはかなり隔たりがありますので、乖離部分に関して補足致します。

1.優秀なハッカーとは? その人数は(一人または少数)?
ハッカーの優秀さを定義することが難しく、ハッキングコンテストの成績上位者、情報セキュリティの資格保有者、または有名なセキュリティ研修の受講者など、各社独自に定義されているのが現状です。一昔前のことですが、ハッキングの逮捕暦がある者を採用していることで技術力をアピールしている会社もありました。仮に優秀とされるハッカーがいたとしても、1―2名では定められ診断期間内にどれだけの規模の診断を実施できるのでしょうか?仮にオンサイト診断であったとして、一人で漏れなく手動診断を一日(8時間)に10IP診断できるかは疑問です。しかも、優秀なハッカーであれば引く手数多であるが故、同じ場所の診断を長く引き受けることはせずに、同時期に何箇所も「掛け持ち」をすることも多いようです。

2.得意分野の把握?(適材適所の配置が必要?)
優秀なハッカーであっても、Solarisに強いだとかLinuxに強いだとか、得手不得手はあります。診断対象情報を予め入手して適材適所に担当者をアサインできればパフォーマンスは上がるかも知れませんが、ブラックボックス診断では、そうはいきません。

3.効率的に能力を引き出すには?
診断とハッキングの最も大きな違いは、検出する脆弱性の「網羅性」であると考えます。ある1台のサーバに潜在的な脆弱性が20個存在したとすれば、何度診断しても同じ結果(20個検出)が得られなければなりません。気分次第で20個検出できる時もあれば、15個だったり、危険度の高いもののうちで見つけ易いものだけを検出したのでは、診断サービスの対価としては意味がありません。弊社では、網羅性を確保する為には診断員の個々のスキルに左右されない標準診断手順書が必要と考えています。

4.脆弱性の検出のみで良いのか? 対策は?報告内容は? 脆弱性は検出できるものの、お客様の立場に立って効率的かつ現実的な対策を示すことができない診断会社があると聞きます。自動診断ツールが出力する結果をそのまま使っていることが原因のようです。弊社では検出される個々の脆弱性に対し、弊社の言葉で噛み砕いて書き下ろした一品一様の説明内容を用意しており、対策についても可能な限り、お客様の環境に合った形の対策内容を示しています。

5.ハッキング VS 診断サービス? 診断サービスは本番稼動環境に対して実施することが多い為、稼動サービスに影響を与えずに(安全第一)、しかも対象システムに内在する脆弱性のすべてを洗い出して対策案を提示する必要があると考えます。ブラックボックス診断はある意味で非破壊診断の要素を持っていますので、破壊せずに「寸止め」の状態で、可能な限り精度の高い脆弱性の検出スキルが要求されます。一方、ハッキング行為の中では脆弱性の有無を確認する際に稼動サービスに影響を与えないとも限りませんし、恐らく、お客様の立場に立った対策を第一に考えるよりは「こんなに凄い事が出来てしまう」という攻撃者の視点で、危険度の高い脆弱性の検出ばかりに注力されることはないでしょうか?

通常、このようなネットワークセキュリティ診断の質は診断員のスキル、すなわち「人」に依存しがちですが、弊社では上述した「安全で精度の高い検出スキル」に対しては豊富な経験をもとにノウハウとしての作業手順を定型化するだけでなく、新規手法を確立する際にも、検証・レビュー・妥当性確認といった標準プロセスを持っており、その結果は、単なる自動診断ツールのアウトプットとは異なる「精度の高い報告」にも活かされています。

このような意味での「技術力の高さ」を診断の品質に織り込んだ結果、診断サービスそのもの(「ネットワークセキュリティの監査及び評価」のスコープ)に対してISO9001の品質認証を現在まで継続しています。

Q4. バッファオーバーフロー攻撃やDoS攻撃のようなシステムに影響を与える診断も実施するのですか?

基本サービスであるプラットフォーム診断サービスやWebアプリケーション診断サービスの中ではシステムに影響を与えるような診断は実施しません。但し、オプションとしてDoS診断項目も用意しておりますので、ご指定いただければDoS診断オプションの中ではバッファオーバーフロー攻撃やDoS攻撃も実施します。

Q5. 対策を早急に行いたいので出来るだけ早く結果レポートが欲しいのですが、脆弱性診断の結果を診断当日に提供していただくことは可能ですか?

脆弱性診断の結果を速報としてご提出することは可能です。但し、速報の体裁に関してはご相談ください。

Q6. 脆弱性診断を受ける場合、顧客側で準備するものは何ですか?(対象情報、環境 etc.)

大別すると、弊社よりインターネット経由で診断を実施する場合と、お客様のネットワーク環境に弊社より持ち込んだ診断専用端末を接続して実施するオンサイト診断の場合とで異なります。

1.インターネット経由で診断を実施する場合
診断対象となるグローバルIPアドレス(プラットフォーム診断の場合)やURL情報(Webアプリケーション診断の場合)をいただければ、基本的には診断を実施できます。但し、Webアプリケーション診断の場合には、ログイン認証のあるWebアプリケーションでテストアカウント(ID及びパスワード)が必要になるなど、Webアプリケーションのコンテンツに応じてご準備いただく内容が異なりますのでご相談ください。

2.オンサイト診断の場合
基本的には弊社より持ち込んだ診断専用端末をお客様のネットワークに接続する為の情報をご準備いただきます。具体的な情報としては貸与いただくIPアドレスのご準備(DHCPの場合であれば不要です)などですが、必要に応じてお客様側の内規にて定められた各種の申請書情報(入館申請、ネットワーク接続申請など)やセキュリティに関する規約(ウィルスチェック実施報告書の必要性など)についてもご確認いただきます。

Q8. 脆弱性診断に対して海外でのオンサイト診断を依頼することは可能ですか?

可能です。韓国やシンガポール等、アジア諸国を始めとする海外実績もございますし、報告書及び報告会の日・英2ヶ国語対応も可能です。インターネット経由の診断も含めますと、北米・欧州・アジアで合計10カ国以上の診断実績がございます。

Q9. 診断結果レポートの対応言語は?

日本語及び英語に対応しています。

Q10. 簡易的な診断メニューはありますか?

ございます。ツールを使った安価な簡易診断からハッカーの視点で手動診断を主としたフルプラットフォーム診断までございます。また、お客様のニーズに応じて診断項目や診断方法をカスタマイズすることも可能ですので、ご相談ください。


 以下は「スマホアプリセキュリティ診断」に関するFAQとなります。

Q11. なぜスマホアプリに脆弱性診断が必要なんですか?

スマホアプリは各種アカウント情報やクレジットカード情報等の重要情報を扱う事があります。スマホアプリと連携するWebサーバにおいても同様の情報を扱う可能性があります。もし脆弱性があった場合、なりすまし、データ改竄、重要情報漏洩等様々な被害が発生する為、セキュリティ診断が必要になります。

Q12. スマホアプリにはどのような脅威が潜んでいるんですか?

デバッグによるアプリ解析、ログデータの解析、マルウェアアプリからの攻撃などにより、重要情報漏洩や、有料コンテンツの不正利用などの可能性があります。

Q13. なぜスマホアプリの診断が必要なのですか?AppStoreやGooglePlayでアプリの診断はしていないのでしょうか?

マーケットの審査は、アプリが公開基準を満たしているかの確認や、悪意ある動作(個人情報を抜き取るようなマルウェアを仕込む等)をしてないかの審査は実施しますが、脆弱性の有無に関しては診断しません。従って、マーケットの審査とは別にセキュリティ診断が必要です。

Q15. 同じアプリでiPhone用とAndroid用があるときは、両方とも診断が必要ですか?

各OS毎に別ファイルですので、それぞれのファイルを診断する必要があります。

Q16. オンサイトの診断は可能でしょうか?

はい、承ります。リリース前で、通信先が社内サーバといった場合など。または、リリース前のアプリで、診断終了後に間違いなく端末から削除させたい場合などに承ります。

Q17. AndroidやiOSではバージョンが多くありますが、バージョンによって診断結果が変わることはありますか?

各種OS及び端末自体の診断ではなく、アンドロイドOS上で動作するアプリのセキュリティ診断ですので、OSのバージョンは関係ありません。

Q18. 診断時間・期間はどのくらい必要ですか?

事前調整/内容確認、診断、速報作成、結果分析/報告書作成/納品、QA対応を含め約1ヶ月を想定しております。

Q19. 診断はプログラム開発前後含め、どのタイミングで実施することが一般的ですか?

開発完了後から出荷前までの期間に実施するのが一般的です。

Q20. 打合せの際に必要な資料と担当に必要なスキルを教えてください。

アプリの内容が分かる資料及びその資料を理解している方が同席されますと、セキュリティ診断のご説明及び最適な提案がスムーズに行えるかと思います。

Q21. 絶対に診断を必要とするアプリはどのようなアプリでしょうか教えてください。

個人情報や決済情報等の重要情報を扱うような、脆弱性があった場合に、重大な被害が想定される場合にはセキュリティ診断が必要です。