OWASP とビジネスロジック悪用に整合した Web/API/モバイルのグレーボックス診断を実施。CI の DAST ゲートにより回帰を早期検知しました。
背景
機能追加のスピードと外部連携の増加により攻撃面が拡大。機能 QA が中心で、認可境界やレート制限といった観点が不足していました。
アプローチ
ロジックやトークンフローの手動検査と、スクリプト化チェック、CI ゲートを組み合わせ、重大の早期検知と再発防止を両立しました。 指摘には再発防止の実装パターンを紐づけ、重大論点(レート制限、例外処理、認可チェック)は「推奨」から「パイプラインの標準」に格上げしました。レポートは経営向けサマリーと開発向け再現手順を分け、是正のスピードと品質を両立しました。 また、開発サイクルと整合させて軽量の脅威モデリングを定着させ、ガードレール(漏れやすい認可やレート制限のチェック)を標準化しました。診断と修正のループを短縮し、運用速度を保ちつつリスクの可視性を高めました。
クライアント:フィンテック SaaS(東京)
課題
- リリース頻度が高く、社内のセキュリティテストが限定的
- 標準的な OWASP 項目を超えるビジネスロジック欠陥のリスク
実施内容
- Web/API/モバイルに対するグレーボックス診断(OWASP ASVS/MASVS 準拠)
- 脅威モデリング(軽量)をエピック単位で実施し、認可マトリクスの事前検証を標準化
- DAST ゲートはノイズ抑止を調整しつつ高インパクト経路をブロック。プロダクトと再診 SLA を合意
- 認可昇格、IDOR、レート制限回避などのアビューズケースを設計
- CI パイプラインに DAST ゲートを組込み、経営層/開発向けの二言語レポートを提供
- 監査指標:是正までの時間、再診合格率をダッシュボードで可視化し、スプリント間の集中を維持
成果
- 3リリース連続でクリティカル/高リスクの指摘 0 件
- 関連サービス:ITセキュリティ、ネットワークペネトレーションテスト、詳説はブログ
- 是正リードタイム −31%、修正後の再発 −45%
次のステップ
SAST の統合とランタイム保護の導入を検討。関連サービス:ITセキュリティ、ネットワークペネトレーションテスト。ブログもご参照ください。
期間
12週間(再診含む)
使用技術
Burp Suite、カスタムスクリプト、Git 連携 DAST、SAST アドバイザリ