会社の方針で、お取引先からのセキュリティチェックで、監査の指摘で、Webサイトの診断をすることになる企業も少なくないと思います。
いきなり、診断をするように言われても、セキュリティ担当でも情シス担当でもないので、結局何をすればいいのかよくわからないというご相談をよくいただきます。
今回は、Webサイトを診断することになったけれど、何をすればいいかよくわからないという方向けに、何をしたらいいのかまとめました。
Webサイトの診断をすることになったら
とりあえず、Webサイトの弱いところから潰していくために、診断を実施することになった場合、以下を決めていきます。
- 診断範囲・優先順位を決める
- 診断種類・レベルを決める
- いつまでに終わらせるかを決める
1.診断範囲・優先順位を決める
まずは、今回の診断の範囲を決めます。
コーポレートサイトの他に、サービスとして提供しているサイトや社内やりとりで利用しているサイト等、持っているWebサイト診断対象を洗い出します。
次に優先順位を決めます。
理想としては、持っているWebサイトは、すべて診断したほうがいいのですが、費用・時間・労力を考えて、優先順位をつけて実施することをおすすめします。
優先順位が高くなるポイントは、「個人情報や決済など重要な情報を扱う」「インターネット上に公開されている」です。
重要な情報を扱う場合、一度情報が漏洩すると、社会的信用、ひいてはサービスの存続にも関わります。
昨年、某コンビニの決済アプリで情報漏えい事故があり、その後サービスを終了したのはまだ記憶に新しいと思います。
また、インターネット上に公開されており、不特定多数の人がアクセスできるWebサイトは、攻撃者にもアクセスしやすいということになります。
具体的な優先順位の付け方例は以下です。
- お客様にインターネットからアクセスしてもらい、個人情報を入力してもらうWebサイト 「個人情報や決済など重要な情報を扱う」「インターネット上に公開されている」ので、優先順位としては非常に高くなります。
- 社内でのみアクセスでき、社内の人のみが利用する重要な情報を扱わないWebサイト 「個人情報や決済など重要な情報を扱わない」「インターネット上に公開されていない」ので、優先順位としては低くなります。
しっかりと診断範囲・優先順位を決めることで、あとから増やす/減らすとなったときの軸をつくることができます。
さらに一歩踏み込んで、Webサイトの中でも重要情報を扱う機能(ログイン、決済、登録、更新等)、ページを洗い出しておくと、一層この後の工程がスムーズに進みます。
2.診断種類・レベルを決める
Webサイトの診断の分類は、いくつかありますが、今回は①診断する層と②診断手法に分けて決めていきます。
①診断する層
Webサイトの場合、普段利用者が見ているページ「Webアプリケーション層」と、Webアプリケーションを乗せているサーバー「ネットワーク層(プラットフォーム)」に分けられます。
Webアプリケーション層の診断では、たとえば、ログイン画面のパスワード欄に情報を抜き出す命令を書いたときに、パスワード情報を抜き出すことができるかどうか検査します。
ネットワーク層の診断では、たとえば、サーバーで使っていないのに開けっ放しになっているポートがないか、古いバージョンを使っていないか検査します。
診断を依頼する場合、どちらの層もセットになっているサービスもありますが、別々になっているサービスも多いので、確認することをおすすめします。
基本的には、Webアプリケーション層は診断しますが、ネットワーク層も診断するかどうか、決めておくと良いです。
②診断手法
Webサイトの診断手法は、大きく分けて2つあります。
専門の診断士が手作業メインで診断を行う「手動診断」、診断ツールで自動的に診断を行う「自動診断」です。
Webサイトのつくりに合わせて検査できる手動診断ですべて診断するのが理想ですが、現実的には費用・時間・労力が非常にかかるので、1で決めた優先順位と以下を参考に手法を決めていきます。
手動診断をしたほうがいいWebサイト
- 個人情報や決済など重要な情報を扱うWebサイト
個人情報や決済など重要な情報を扱うWebサイトに関しては、1で決めた優先順位を軸にします。 - 新しくリリースする予定のWebサイト
ユーザーに安全に利用してもらうために、リリース前に徹底的に診断しておくのが良いです。
せっかく立ち上げたWebサイトをセキュリティ事故で台無しにしないためにもしっかりとチェックしておきます。
自動診断がおすすめなWebサイト
- 重要な情報は扱っていないが、インターネット上に公開しているWebサイト
- 過去に手動診断を受けたことがあるWebサイトを頻度高く診断したい場合は、自動診断が良いです。
さらに、手動診断を実施する場合、すべてのページを診断できれば安心ですが、予算や時間の関係もあり、現実的には難しいこともあります。
そのような場合は、ログイン/ログアウトページ、新規会員登録ページ、決済ページ等、重要な情報を扱うページ等、重要な情報を扱うページ・機能にフォーカスして、対象を絞ることもできます。
自社のWebサイトにはどの手法がいいかわからない、どのページ・機能をした方が良いかわからない場合は、依頼する診断業者にアドバイスを受けるのも良いです。
3.いつまでに終わらせるかを決める
いつまでに診断結果が出て、Webサイトの修正が完了している状態にしていたいか、だいたいのスケジュール感を持っておくと、診断業者側としてもスケジュールの確認がしやすく、希望の時期に診断できる可能性が高まります。
特に手動診断の場合、診断士の割り当てもありますので、希望の時期がある場合は、早めにスケジュールを共有しておくことが重要です。
また、リリース前のWebアプリケーションを診断する場合、リリース予定日から逆算して、スケジュールを立てることが重要です。
診断期間、結果が出るまでの期間だけではなく、ある程度修正すべき点が見つかることも考慮して、修正の時間も十分に確保しておく必要があります。
直前になって慌てることがないように、いつから開始すれば良いのか、しっかりと確認しておきましょう。
Webサイトの診断に限らずですが、いつまでに終わらせるか決めておくことで、スケジュールが伸びに伸びて結局いつまで経っても終わらないという状況を防ぐことができます。
まとめ
今回は、Webサイトを診断することになったけれど、何をすればいいかよくわからないという方向けに、何をしたらいいのかまとめました。
- 診断範囲・優先順位を決める
- 診断種類・レベルを決める
- いつまでに終わらせるかを決める
Webサイトの診断をすることになった場合、ぜひ参考にしていただければと思います。
