セキュリティ アセスメント技術：コードレビュー対ペネトレーション テスト

作者 Srini Penchikala , 翻訳者 編集部Ｎ 投稿日 2010年12月12日

セクション

運用/インフラ,

プロセス/プラクティス,

設計/アーキテクチャ,

デベロップメント

トピック

コード分析 ,

マネジメント ,

デバッグ ,

Architecture ,

プログラミング ,

セキュリティ

共有 |

原文(投稿日：2010/12/06)へのリンク

Webアプリケーションのセキュリティ テストとアセスメントには、セキュリティ コードレビューとペネトレーションテスト技術の両方を含むべきである。 OWASP の役員であるDave Wichers氏は、AppSec DC 2010 カンファレンス で、webアプリケーションのセキュリティ脆弱性を見つけるコードレビューとペネトレーションテストのアプローチのプラスとマイナスについて、講演した。

氏が言うには、コードレビューもペネトレーションテストも自動の分析ツールを利用することで、セキュリティ エンジニアが脆弱性を発見するのを助けることができる。コードレビューでは、顧客が開発したコードとともに、アプリケーション、ライブラリ、フレームワーク、そしてアプリケーションをデプロイするサーバーの構成ファイルを含めなければならない。

彼は、それぞれのアプローチの強味と弱味を比べている。ペネトレーションテストの強みは、専門的な技術があまり要らず、設定と実行が比較的容易であり、アプリケーション インフラの全体をチェックでき、脆弱性を証明できることである。一方、コードレビューによるアプローチの利点は、全てをチェックして、ある種の欠陥の全事実を見つけ出すのが、比較的容易であり、制御が正しいことを証明できることである。またその制御が必要とする全ての場所に使われていることも証明できる。

氏は、またこれら2つの技術とセキュリティ脆弱性の OWASP Top 10 リストとの関係を示した。コードレビューの方が脆弱性を見つけるのに良いアプローチであるものは、以下の脆弱性カテゴリである。

• インジェクション フロー
• クロスサイト スクリプティング (XSS)
• オブジェクトの直接参照
• クロスサイト リクエスト フォージェリ (CSRF)
• URLベース アクセス コントロール
• クリプト ストレージ
• リダイレクト／フォワード 欠陥

ペネトレーションテストの方がセキュリティの欠陥を見つけるのに適しているカテゴリは、以下のものである。

• 構成の欠陥
• トランスポート セキュリティの欠陥

認証の脆弱性 のような他の問題や認証とセッション管理の欠陥を見つけるには、両方の技術を使うことができる。両方の技術が認証関連の問題を見つけるのに役立つ。その中には、アカウント ロックアウト、強い信用証明の要求、認証イベントのロギング、ログアウト時の適切なセッションの無効化、充分にランダムなセッション トークンがある。

セキュリティ チームは、セキュリティ テストの際は、両方の技術を使うべきであるが、コードレビューの強みが著しく増して来ているのは、アプリケーションのポートフォリオが大きくなっていること、およびアセスメントのレベルがより厳しくなってきているからである。氏は、次のように結論づけている。コードレビューは、より高くつくやり方だ、と言うのは作り話に過ぎない。ちゃんとした技術を持った人がいるなら、コードレビューの方が速くて、効果的である。