近年デバイスの普及により、ECサービスやネット予約サービスを行うウェブアプリケーションが数多く展開されています。これらは顧客の個人情報を取り扱うサービスであるため、特にセキュリティに注意を払う必要があります。セキュリティリスクへの対策として、脆弱性診断ツールがいくつも開発されていますが、その中から最適なものを選ぶことは難しいです。今回はおすすめのウェブアプリケーション脆弱性診断ツールについて解説します。
脆弱性診断とは
「脆弱性診断」とは、ネットワークやWebアプリケーションなどのシステムにセキュリティ上の欠陥がないか、を確認するテストのことです。
「脆弱性」とは、ハッカーやコンピュータウィルスが、システムに攻撃する際の隙となるバグやセキュリティ上の欠陥を指します。脆弱性診断によってバグや欠陥を発見し、対策を施すことでセキュリティレベルを高めることができます。
脆弱性診断を作業者自身のPC上で行えるようにするツールが、脆弱性診断ツールです。
ツールを用いることで、社内で手軽に脆弱性診断を行うことができます。
脆弱性診断についてより詳しく知りたい方は、こちらの記事をご参考ください。
「脆弱性診断でよくあるお悩み」
おすすめのウェブアプリケーション脆弱性診断ツール
おすすめのウェブアプリケーション脆弱性診断ツールは、「Burp Suite(バープ スイート)」です。Burp Suiteは、Webアプリケーションのセキュリティテストを⾏うためのプラットフォームです。GoogleやAmazonとも取引を行っているWebセキュリティ会社のPortSwigger社が開発したツールであり、全世界で15,000件以上の活用実績があります。
機能ごとに3つのプランに分けられているため、必要に合わせて最適なプランを選択できます。
Burp Suiteの特徴
・高機能なスキャンをワンクリックで実行できる。
Burp Suiteを用いることで、Webアプリケーションの脆弱性を発見するためのスキャンをワンクリックで実行することができます。
サイトのURLのみでスキャンをすることができるため、専門的な知識を持っていなくても手軽に脆弱性診断が可能です。頻度を日・週・月ごとと細かく設定することができるため、導入前とスキャンの頻度を変えることなく、今までかかっていたコストを削減することができます。
・詳細なレポートを表示する機能がある。
Burp Suiteでは、スキャン実行後に詳細なレポートが作成されます。各範囲でのセキュリティリスクや、各攻撃方法に対する耐性について細かく確認することができるため、問題を整理し修正するべき範囲を正確に知ることができます。修正範囲を定めることは効率的に脆弱性を改善することにつながります。
・Burp Proxyを用いることで、効率的にセキュリティ診断ができる。
Burp Suiteには「Burp Proxy」というツールが搭載されており、Burp Proxyを用いることで、少ない手順でセキュリティ診断を行うことができます。通常テスト対象の通信を暗号化している場合、直接脆弱性の有無を診断することは難しいです。しかしBurp Proxyを用いると、通信を暗号化する規格であるhttpsをテスト対象に用いている場合でも、ツール1つで簡単にウェブアプリケーションの通信履歴の閲覧や書き換えができます。通信が暗号化されていても、細かい手順を踏むことなく、通信履歴から攻撃に対してどのような挙動をしたかを確かめることができるため、業務の効率化につながります。
Burp Suiteでおすすめのプラン
Burp Suiteには下記3つのプランがあり、プランごとに利用できるツールが異なります。
Professional Edition
初めて脆弱性診断ツールを導入する方には、Professional Editionがおすすめです。
Professional Editionであれば、Burp Suiteの特徴で挙げた高機能なスキャン・詳細なレポート・Burp Proxyを全て無制限で使用することができます。さらに、テスト内容をカスタマイズする際には、Burp Suiteを利用している他のユーザーが作成した250以上の拡張機能を導入することができ、個人で拡張機能を一から作成するよりも効率的にカスタマイズを行うことができます。
Enterprise Edition
Enterprise Editionは、Professional Editionに下記のようなことを実現できる機能を追加・拡張したプランです。
・大規模なスキャンを同時に複数実施する。
・大人数のメンバーと連携しセキュリティを強化する。
・より広い範囲でテストを自動化する。
大規模なプロジェクトなど、多くの作業を同時並行で行いたい場合や自動化の範囲を広げたい場合におすすめです。
Community Edition
Community Editionは、Burp Suite唯一の無料プランです。脆弱性診断に必要な基礎ツールやBurp Proxyを利用することができます。ただし、Burp Suiteの特徴で挙げたURL1つで高機能なスキャンを実施し、詳細なレポートを発行するスキャン機能が利用できない点については注意が必要です。
プランごとの料金
各プランの料金は以下の表の通りです。
プラン名 | Community Edition | Professional Edition | Enterprise Edition ※1 | |
---|---|---|---|---|
(Classic)※2 | (Unlimited) | |||
料金 | 0円 | ユーザー1人につき 1年あたり449ドル (約6万円) | 1年あたり 17,380ドル (約240万円) | 1年あたり 49,999ドル (約700万円) |
※1 Enterprise Editionには、利用状況に応じて調整可能な料金プランもあります。
※2 ClassicとUnlimitedは同時にスキャンできるテスト対象の数が異なります。
Classicが20個以内、Unlimitedが無制限です。
2023年7月現在の利用料金・レートで算出しています。
最新の料金につきましては、下記公式サイトをご参考ください。
Burp Suite – Application Security Testing Software – PortSwigger
現在の料金では、10人前後のチーム全員が利用する場合、Professional Editionは、Enterprise Editionの4分の1ほどの料金で導入できるため、料金面でも初めて導入する際に最適なプランであるといえます。
まとめ
おすすめのウェブアプリケーション脆弱性診断ツールは、Burp Suite(バープ スイート)です。Burp Suiteを導入することで、URL1つで高機能なスキャンを実施し、詳細なレポートを発行する機能や、暗号化されたサイトでも簡単に脆弱性診断を行うことができる機能を活用することができます。初めて脆弱性診断ツールを導入する場合には、特にProfessional Editionというプランがおすすめです。
株式会社GENZでは、脆弱性診断も含めたITに関するお困りごとに幅広く対応しております。
システムの脆弱性を確認したいけれど、何からはじめたらよいかわからない、という場合でも大丈夫です。脆弱性診断の専門家がお客様のシステムにあったテスト計画を提案させていただきます。脆弱性診断と機能面のテストをまとめてご依頼いただくことも大歓迎です。脆弱性診断ツールを導入したいけれど、どのような手順で導入し利用すればよいかわからない、という場合でも大丈夫です。脆弱性診断の専門家が、ツールの導入をサポートさせていただきます。脆弱性診断やその他テストのご依頼も大歓迎です。
GENZと共にお客様のシステムをより良いものにしてみませんか。