脆弱性スキャンとペネトレーションテストは、アプリケーションのセキュリティテストに欠かせない要素です。組織がこれらを実行する際は、財務情報、個人情報、機密情報、部外秘の情報を保護するため、スキャンツールを使って、パブリックとプライベートの両方でアクセス可能なWebサイトや重要なアプリケーション、エンドポイントをスキャンする必要があります。このようなテストは、プライベートデータの漏洩を引き起こす可能性のある暗号化の問題、設定ミス、パッチの不備、そしてSQLインジェクション、クロスサイトスクリプティング、OWASPトップ10の脆弱性といったアプリケーションの脆弱性を特定することを目的としています。
これらのスキャンエンジンは、OWASPなどの定義により一般的に知られているエクスプロイトに対して動作します。OWASPが定義するエクスプロイト(OWASPトップ10など)は、SQLインジェクション、クロスサイトスクリプティング(XSS)、中間者(MITM)攻撃、マルウェアインジェクションなどさまざまな手口を用いて脆弱なWebアプリケーションやWebサイトをハッキングし、データを密かに抽出したり、ユーザーやシステムを欺いて機密情報を引き出すほか、アプリケーションのパフォーマンスを大幅に低下させることもあります。
スキャンツールは、脆弱なURLの一覧を結果として出力します。これをもとに、開発環境でパッチを適用するか、あるいはWAFやWAAPのデバイスにインポートすることで、ハッキングからシステムを守ることができます。ラドウェアのWebアプリケーションファイアウォール(WAF)は、Webアプリケーション向けのセキュリティパッチ適用ソリューションを提供する初の製品で、動的アプリケーション セキュリティテスト(DAST)ソリューションと密接に統合することで、アプリケーションを継続的に展開する環境においてリアルタイムに動作します。DASTソリューションとラドウェアのWAF/WAAPを統合することにより、既知のWebアプリケーションの脆弱性に対するWebアプリケーションバーチャルパッチ適用の自動化と高速化を実現します。
脆弱性スキャンツールは高額で、適切なテストを行うためにはセキュリティに関する専門知識が必要となります。ラドウェアは、WAFの一部として、Webアプリケーションを保護するセキュリティポリシーを自動生成するスキャンエンジンを提供しています。この自動ポリシー生成モジュールはラドウェアの製品に組み込まれているもので、必要なセキュリティフィルターを自動的に利用してセキュリティフィルターのルールを作成し、セキュリティフィルターをアクティブモードに切り替えます。組織では、ラドウェアWAFに搭載されている自動ポリシー生成機能や脆弱性スキャンエンジンおよびDASTツールのサポート、API検出、ネガティブおよびポジティブ両方のセキュリティモデルを用いて、APIとアプリケーションを保護することができます。
Application Vulnerability Analyzerの機能および比較
| |
ラドウェア |
CDNベースのWAF |
パブリッククラウドネイティブWAF |
ソフトウェアベースのWAAP |
| ネガティブセキュリティモデルおよびスキャンツールとの統合 |
あり |
あり |
あり |
あり |
| DASTとの統合 |
あり |
なし |
なし |
あり |
| ポジティブセキュリティモデル |
あり |
なし |
なし |
あり |
| 脆弱性のスキャンおよび自動ポリシー生成 |
あり |
なし |
なし |
なし |
| API検出 |
あり |
なし |
なし |
可能性あり |
その他のリソース