GMO Flatt Securityは、国産脆弱性診断ツール「Shisho Cloud byGMO」内での、Webアプリケーションの認可制御診断機能の提供を3月5日に開始した。
認可制御は、Webアプリケーションのユーザーに対して付与されたアクセス権限通りの操作のみを許して、それ以外の操作を禁止する制御のことであり、そういった制御があるべき箇所に実装されていなかったり、制御を迂回して本来禁止された操作を実行できたりしてしまう脆弱性を「認可制御不備」と呼ぶ。「認可制御不備」の存在によって、一般ユーザーが全ユーザーの個人情報を閲覧可能になってしまうといった、情報漏えいをはじめとするさまざまなリスクにつながる。
「Shisho Cloud byGMO」におけるWebアプリケーションの認可制御診断機能では、AIがアプリケーションの仕様を把握して、権限ごとに可能な操作を一覧化した権限マトリクスを自動で作成するとともに、権限ごとに実際にアプリケーションにリクエストを送信して、挙動が権限マトリクスに沿っているかどうかを自動で診断する。なお、提案された権限マトリクスが不正確な場合でも、人の手で修正できる。
「Shisho Cloud byGMO」なら、開発サイクルに合わせた継続的な脆弱性診断が可能であり、アジャイル開発で随時追加・変更されていく機能にも正しく認可制御を実装できているかを、機能リリースの度に洗い出せる。
AIを活用して認可制御診断のフロー全体を自動化したことで、手動脆弱性診断と比較して費用を大幅に削減可能となっており、たとえば年に一度の手動脆弱性診断で約500万円の費用が必要であるのに対して、「Shisho Cloud byGMO」なら年間150万円(税別/Starterプラン)で継続的に自動診断ができる。
なお、認可制御診断機能は「Shisho Cloud byGMO」におけるStarterプラン以上のユーザーに提供される。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
