これにより、「ブラックボックス診断」の利用企業は、システム改修の迅速化を促進する、より多角的なセキュリティ診断を追加料金なしで実施することが可能になりました。
Flatt Securityでは、セキュリティ診断のさらなる質の向上を通じて、他社が追随できない開発者体験を提供することで、多様な業界企業の事業/開発のスピードを損なわないセキュリティの実践をサポートします。
-
セキュリティ診断手法によるメリット・デメリットの違い
「セキュリティ診断」(脆弱性診断)には、「ブラックボックス診断」と「ホワイトボックス診断」という、大きく分けて2種類の診断手法があり、それぞれの診断手法ごとにメリット・デメリットが異なります。
【ブラックボックス診断】
セキュリティ診断における一般的な診断手法であり、Flatt Securityの「セキュリティ診断」の標準メニューとなっています。攻撃者の立場を再現し、外部から得られる情報だけを用いて攻撃を試みることで、脆弱性の有無を判断します。Webサービスの場合は、ユーザーが送信したデータとサーバーから受け取るデータ(入出力)などから脆弱性を探索します。
■料金が安価な一方、脆弱性の発見精度や原因究明に課題も
「ホワイトボックス診断」と異なり、診断手法がある程度確立されており、実施料金も安価になることが多くなっています。
一方で、脆弱性の発見精度に課題があります。また、脆弱性を発見した際の原因究明や調査が難しい場合があり、「ホワイトボックス診断」と比較すると、診断実施後の報告がシステム改修に繋ぎづらい内容になってしまうケースもあります。
【ホワイトボックス診断】(URL:https://flatt.tech/assessment/plan/whitebox)
システムのソースコードや仕様書などを通じて、システムの内部ロジックを解析することで、脆弱性の有無を判断する診断手法です。
■一定の技術力とコストが必要になる一方、脆弱性の原因究明や発見精度に強み
「ブラックボックス診断」と比較した場合、診断を行うセキュリティエンジニアの技術力に依存するところが大きく、また解析対象の増加に伴って診断工数が大きくなることから、実施料金も高額になる場合が多くなっています。診断を実施するエンジニアには、診断対象となるシステムの実装に対する理解に加え、開発に関する知見や深い経験が求められます。
一方で、「ブラックボックス診断」では困難だった脆弱性の原因究明や調査を「ホワイトボックス診断」では実施できる場合があります。そのため、脆弱性の原因や攻撃成立の可能性についてより具体的に記載することが可能となり、「ブラックボックス診断」と比べて、よりシステム改修に繋ぎやすい診断報告の提供ができるのが特徴です。
また、一般的に、脆弱性の発見精度についても「ブラックボックス診断」より優れているとされています。
-
ブラックボックス診断へのソースコード診断無料付帯について(URL:https://flatt.tech/assessment)
この度、Flatt Securityでは、「セキュリティ診断」の標準メニューである「ブラックボックス診断」へのソースコード診断(部分的なホワイトボックス診断)の無料付帯を開始することといたしました。「ブラックボックス診断」の結果に応じて、必要な場合のみ部分的なホワイトボックス診断を行うことで、「ホワイトボックス診断」の強みである充実した診断報告と「ブラックボックス診断」の強みである低い診断コストの両立を図ります。
標準メニューのリニューアルを通じて、診断の実施スピードや発見した脆弱性に関する報告内容の向上を図り、これまで以上にプロダクト開発組織に寄り添った診断サービスの提供を目指します。
【部分的・選択的な実施により診断実施の効率化を図る】
ソースコード診断は、「ブラックボックス診断」において異常な挙動が確認された場合など、さらなる原因究明や調査が必要となった際に実施します。また、システム全体の共通処理などの検証を効率的かつ高精度に行うためにも実施することがあります。このように、従来の診断では非効率な部分に絞って解析を実施することで、診断実施の効率化を図ります。
【報告内容の向上により、システム改修の迅速化をサポート】
「ブラックボックス診断」の結果を踏まえてさらなる原因究明・調査を行うことで、発見した脆弱性の原因や攻撃成立の可能性に関するより具体的な解説を含んだ、システム改修の迅速化を支える充実した報告書を提供します。他社が追随できない開発者体験を提供し、事業/開発のスピードを損なわないセキュリティの実践をサポートします。
【多様な診断メニューと組み合わせ可能】
技術スタックに応じて、様々な診断メニューと組み合わせることが可能です。診断メニューを複数組み合わせて実施することもできます。
<Flatt Securityが提供する診断メニュー>
・AWS・GCP・Azure診断(URL:https://flatt.tech/assessment/cloud_platform)
・Firebase診断(URL:https://flatt.tech/assessment/firebase)
・GraphQL診断(URL:https://flatt.tech/assessment/graphql)
・IoT診断(URL:https://flatt.tech/assessment/iot)
・SPA診断(URL:https://flatt.tech/assessment/sp)
・Webアプリケーション診断(URL:https://flatt.tech/assessment/web_app)
・スマートフォンアプリ診断(URL:https://flatt.tech/assessment/sp_app)
・スマートフォンゲーム診断(URL:https://flatt.tech/assessment/sp_game)
・ブロックチェーン診断(URL:https://flatt.tech/assessment/blockchain)
-
ホワイトボックス診断利用企業の声
【株式会社ティアフォー SRE 宇津井大さん】
ソースコードを提供する事に不安はありましたが、詳細な説明が無くても的確に読み解いて未知の脆弱性を指摘してもらえました。
【Ubie株式会社 セキュリティエンジニア 水谷正慶さん】
プロダクトの挙動についての確認作業を減らしたり、外部の動作からだけでは判断が難しい脆弱性も発見してもらっています。
-
株式会社Flatt Securityについて
Flatt Securityは2019年のセキュリティ事業開始以来、「開発者のための次世代セキュリティサービスを届け、世界中のプロダクト開発を加速する」をコーポレートキャッチとして、Webプロダクト開発組織に向けた各種セキュリティ事業を展開しています。
●セキュリティプロダクト事業:セキュリティ対策の自動化を促進するソリューション
・AWS/Google Cloudのセキュリティ診断を行い、プロダクト開発・運用を担う開発者やSREチーム、CCoEチームのクラウドセキュリティを支えるSaaS「Shisho Cloud」(URL: https://shisho.dev/jp )
●プロフェッショナルサービス事業:高度な技術力を有する専門家によるセキュリティ支援
・開発者に寄り添ったセキュリティエンジニアによる脆弱性調査・分析サービス「セキュリティ診断」(URL:https://flatt.tech/assessment/detail )
・クラウド型セキュアコーディング学習プラットフォーム「KENRO」(URL: https://flatt.tech/kenro )
-
会社情報
社名 :株式会社Flatt Security(フラットセキュリティ)
代表者 :代表取締役社長 井手康貴
所在地 :〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立 :2017年5月23日
事業内容 :サイバーセキュリティ関連サービス
Webサイト: https://flatt.tech