付録
各種診断で検出対象とする脆弱性種別
各種診断において検出対象とすることを求める脆弱性の種別を下表に示す。各表の出典列は、付録Bの文献番号に対応している。
プラットフォーム診断
| No. | 脆弱性種別 | 備考 | 出典 |
|---|---|---|---|
| 1 | 脆弱なソフトウェアの利用 | 既知脆弱性の有無を確認 | (5)(6)(7) |
| 2 | 不要なポート、サービス、アカウントの存在 | (5)(6) | |
| 3 | 公開ディレクトリ、ストレージへの非公開情報の保存 | 公開不要なファイルの存在等を確認 | (6)(7) |
| 4 | DNSの設定不備 | オープンリゾルバ、ゾーン転送の設定不備等を確認 | (5) |
| 5 | 暗号化されていない、または脆弱な暗号による通信 | (6) | |
| 6 | サーバ証明書の不備 | (5) | |
| 7 | サーバソフトウェアの設定不備 | 初期パスワードの利用、ディレクトリリスティング等を確認 | (7) |
表 4‑1 プラットフォーム診断で対象とする脆弱性種別
Webアプリ診断
| No. | 脆弱性種別 | 備考 | 出典 |
|---|---|---|---|
| 1 | SQLインジェクション | (5)(6)(7) | |
| 2 | OSコマンドインジェクション | (5)(6)(7) | |
| 3 | クロスサイトスクリプティング(XSS) | HTMLインジェクション、CSSインジェクション、DOM based XSS等を含む | (5)(6)(7) |
| 4 | メールヘッダインジェクション | (5)(6) | |
| 5 | HTTPヘッダインジェクション(CRLFインジェクション) | (5)(6)(7) | |
| 6 | evalインジェクション | (5) | |
| 7 | その他のインジェクション | サーバサイドテンプレートインジェクション(SSTI)、相対パスによる上書き(Relative Path Overwrite)等を含む | (7) |
| 8 | ディレクトリトラバーサル(パストラバーサル) | ローカルファイルインクルージョン(LFI)を含む | (5)(6)(7) |
| 9 | セッション管理の不備 | 推測可能なセッション、セッションの盗用、セッションの固定化(セッションフィクセーション)、Cookieの管理不備等を含む | (5)(6)(7) |
| 10 | アクセス制御(認証制御)と認可処理の不備 | 認証回避、ログアウト機能の不備、脆弱なパスワードポリシー、パスワードリセットの不備、復元可能なパスワード保存等を含む | (5)(6)(7) |
| 11 | クロスサイトリクエストフォージェリ(CSRF) | (5)(6)(7) | |
| 12 | クリックジャッキング | (5)(6)(7) | |
| 13 | レースコンディション(競合状態) | 競合状態の発生は確率に依存するため、再現の難しい脆弱性である。実施する診断の程度については、事前に診断の実務者との間で認識を合わせおくことが望ましい | (5) |
| 14 | バッファオーバーフロー | 整数オーバーフローを含む。想定された値域を超えるデータの送信により、主にシステム停止等の異常動作の検出を目的として診断を行う | (5)(6) |
| 15 | ファイルアップロードに関する不備 | 圧縮ファイルの取り扱い(ZIP Bombs等)を含む | (7) |
| 16 | セキュリティの設定ミス | (7) | |
| 17 | オープンリダイレクト | (7) | |
| 18 | 安全でないデシリアライゼーション | (7) | |
| 19 | サーバサイドリクエストフォージェリ(SSRF) | (5)(7) | |
| 20 | クロスサイトウェブソケットハイジャッキング(CSWSH) | WebSocketプロトコルを使用している場合のみ診断対象とする | (7) |
| 21 | XML外部エンティティ参照(XXE) | (7) | |
| 22 | その他の情報漏えいにつながる脆弱性 | エラーメッセージやキャッシュからの情報漏えい等を含む | (7) |
表 4‑2 Webアプリ診断で対象とする脆弱性種別
スマートフォンアプリ診断
スマートフォンアプリ診断で対象とする脆弱性は、OWASPの「Mobile Application Security Checklist (MAS Checklist)」の以下の領域におけるL1の実施項目を網羅するものとする。MASVS-CODE及びMASVS-RESILIENCEに属する診断項目は除外して構わない。
-
MASVS-STORAGE(データストレージとプライバシー)
-
MASVS-CRYPTO(暗号化)
-
MASVS-AUTH(認証と認可)
-
MASVS-NETWORK(ネットワーク通信)
-
MASVS-PLATFORM(モバイルプラットフォームとの相互連携)
参考資料
- U.S. General Services Administration - IT Security Procedural Guide: Conducting Penetration Test Exercises CIO-IT Security-11-51 Revision 6 https://www.gsa.gov/system/files/Conducting-Penetration-Test-Exercises-%5BCIO-IT-Security-11-51-Rev-6%5D-11-25-2022.pdf
-
U.S. General Services Administration - IT Security Procedural Guide: Vulnerability Management Process CIO-IT Security-17-80 Revision 4 https://www.gsa.gov/system/files/Vulnerability-Management-Process-%5BCIO-IT-Security-17-80-Rev-4%5D-03-13-2023.pdf
-
National Institute of Standards and Technology - SP 800-115 Technical Guide to Information Security Testing and Assessment https://csrc.nist.gov/publications/detail/sp/800-115/final
-
経済産業省 - 我が国産業の情報セキュリティ向上に向けた情報セキュリティサービスの高度化方策に関する調査報告書 https://www.meti.go.jp/policy/netsecurity/shinsatouroku/report_2018fy.pdf
-
NISC - 政府機関等の対策基準策定のためのガイドライン(令和5年度版) https://www.nisc.go.jp/pdf/policy/general/guider5.pdf
-
IPA - 安全なウェブサイトの作り方 改訂第7版 https://www.ipa.go.jp/security/vuln/websecurity.html
-
脆弱性診断士スキルマッププロジェクト - Webアプリケーション脆弱性診断ガイドライン 第1.2版 https://github.com/WebAppPentestGuidelines/WebAppPentestGuidelines
-
OWASP - Mobile Application Security https://mas.owasp.org/