スマートフォンアプリケーションや、専用クライアント、他のサイトなどから利用する目的で構築される、Web APIは、主にJSON/XMLといった形式でデータのやり取りを行います。また現在では、GraphQLなど、JSON/XML以外の形式でのものも出てきています。
このような、ブラウザから直接利用されないWeb APIの脆弱性診断では、Webアプリケーションとはまた異なった視点・ノウハウが要求されます。例えばどのようなサイトにAPIの利用を許可するかといったCORSの仕組みや、JWTという新しめのWeb API向けの認証方法など、その仕組みを理解しての診断はより高度な技術を要求されます。
ディーゴではWeb API脆弱性診断の診断項目としてOWASP ASVS(V5.0 Lv1)、OWASP Web Security Testing Guide をカバーし、OWASP TOP Ten(2017)の視点を取り入れた国際的な基準に則った診断項目を設定しています。 検出した個々の脆弱性は全て詳細に解析した上で国際基準 CVSS(V3.1)によるリスク評価を行ない、分かりやすい再現手順と対策案とをあわせて診断結果の報告をいたします。
また、リスクが高いと考えられる脆弱性については報告書の完成を待たずに一早くお伝えいたします。（速報）

Web API脆弱性診断の特長

国際基準に合わせた診断項目

診断項目は、実質的なWebアプリケーションの国際基準となっている、OWASP ASVSのLV1を網羅し、同じくOWASPが提案しているセキュリティテストガイドである、OWASP Web Security Testing Guideのテスト項目を網羅して実施しています。診断仕様にあげているOWASP Top Tenは網羅性を持ったリストではありませんが、最も危険な脆弱性として提示されているリストとなりますので、Top Tenについては、より深堀した項目をテストしています。

高い基準のセキュリティエンジニアが診断しています

弊社では、社内規定により一定の技術基準を満たしているシニアセキュリティエンジニアを認定し、どの診断プロジェクトにおいても、シニアセキュリティエンジニアが診断内容・結果についてチェック・レビューを行うルールを設けています。弊社セキュリティエンジニアはセキュリティコミュニティでの講演活動などサイバーセキュリティの意識喚起・技術向上の社会貢献活動を積極的に行っています。

最新のAPIプロトコルに対応

弊社のサイバーセキュリティ技術は、IT開発技術の上に構築しており、Web API開発技術も最新の情報を網羅しています。GraphQL、gRPCといった最新のプロトコルにも対応しております。難しい技術要件の診断もご相談いただけます。

Web API脆弱性診断仕様

本脆弱性診断の診断仕様は以下となります。

診断項目

本脆弱性診断の診断項目は以下リストのチェック項目を網羅します。

• OWASP ASVS(V5.0 LV1)
• OWASP Web Security Testing Guide(V4.2)
• OWASP Top Ten(2017)

診断ツール

本脆弱性診断の自動診断は以下ツールを用いて行います。

• Burp Suite Professional

手動診断

診断ツールによる自動診断でカバーされない項目・別途手動診断を行うべき項目については、手動診断にて診断を行います。