2022.09.26

【プレスリリース】GraphQL利用のWebアプリケーションを対象にしたセキュリティ診断メニューを正式に提供開始

サイバーセキュリティ事業を展開する株式会社Flatt Security(本社:東京都文京区、代表取締役社長:井手康貴)は9月26日、「セキュリティ診断」サービス内において以前よりお客様のご要望に応じて個別に提供を行っていた「GraphQL診断」を正式に提供開始することをお知らせいたします。 graphql

Flatt Securityは「セキュリティ診断」サービスにおいて、GraphQLを用いたAPIを持つWebアプリケーションを対象とした診断メニュー「GraphQL診断」を正式に提供を開始いたします。

セキュリティ診断」サービスとは

「セキュリティ診断」は「脆弱性診断」とも呼ばれ、Webサービスやスマートフォンアプリを対象にして情報漏洩や不正利用につながる脆弱性がないかセキュリティエンジニアが検証し、レポーティングするサービスです。

こうした脆弱性の検出はツールによる自動診断だけでは難しく、インターネット上で金融、医療、人事等にまつわる機微な情報がますます活発に扱われている現代においてセキュリティエンジニアのような専門家による診断は必須となっています。

Flatt Securityの診断はアプリケーションの実装だけでなく、AWS・GCP・AzureといったパブリッククラウドやFirebaseのようなmBaaSの設定ミスまで対象にして多角的にリスクを洗い出すことが可能です。

「GraphQL診断」提供開始の背景

GraphQLはモダンなWebアプリケーション開発者から人気を集める一方で、従来の Web API (いわゆる REST API) とは大きく異なる性質を持つ以上、GraphQL利用時にはGraphQL固有のセキュリティ観点が生まれ、開発者は注意して設計・実装を行わなくてはなりません。 whitebox graphql

開発者にそのような知識を提供するため、Flatt SecurityはWebエンジニア向けセキュアコーディング演習の「KENRO」において「GraphQLの基礎とセキュリティ」という学習コースを提供しています。

また、GraphQL固有の脆弱性に対して正確な診断を行うためには、REST APIのそれとは大きく異なる、GraphQL固有のコンフィグレーションや実装を精査する必要があります。Flatt Securityはこれまでもお客様の個別のご要望に応じてそのような診断を提供してきました。

ですが、GraphQLの人気ゆえその需要は日々高まっており、GraphQLを利用したWebアプリケーションのセキュリティ対策を必要とするより多くの皆様に広くサービスを標準化された状態で提供できるよう、正式にメニュー化するに至りました。

「GraphQL診断」メニュー概要

GraphQLを用いたWeb APIの診断を実施する際には、当該 APIが扱うデータの型やクエリの種類が定義されたスキーマファイルの提供をご依頼します。より詳細な診断をご希望される際には、上記に加えてGraphQLのクエリを実際に処理するResolverの実装やバックエンドのデータベース等との連携を含めたシステム構成図をご提供いただきます。

これらの情報を精査し、以下のような観点の脆弱性が存在しないか診断します。

  • Introspection Queryが有効
  • 権限昇格
  • 認可制御の不備
  • クエリを利用したDoS

過去に「GraphQL診断」の内容を含む診断を実施した事例としてAnique株式会社様のインタビューを公開中です。ぜひご覧ください。 anique 1

NFTサービスのセキュリティ診断を実施。「ロールバックできないブロックチェーンだからこそ入り口を固める必要がある」 https://flatt.tech/assessment/voice/anique

Flatt Securityは「開発者のためのセキュリティサービス」を提供します

Flatt Securityは「現代の開発者の価値観にぴったりフィットしたセキュリティサービスを提供する」ことを目指しており、今回の「GraphQL診断」の正式メニュー化もその一環です。

先述の通り、GraphQL利用時にはGraphQL固有のセキュリティ観点が生まれ、開発者は注意して設計・実装を行わなくてはなりませんが、これはGraphQLに限らず様々なモダンな技術に対しても同様のことが言えます。

開発者を取り巻く技術スタックが多様化する現代、至る所で開発者は特定の技術固有のセキュリティ観点に気をつけなければいけません。しかしそれを全ての開発者が100%の精度でこなすのは現実的ではない以上、Flatt Securityのプロフェッショナルサービス事業部はその役目を代わりに担えるよう最新技術にキャッチアップし続け、現代の開発者をサポートするにふさわしい専門家のあり方を体現していきます。

Flatt Securityの「開発者のためのセキュリティサービス」

Flatt Securityは本プレスリリースで紹介した「セキュリティ診断」の他、エンジニアがセキュアにWebアプリケーションの設計・開発を行うためのクラウド型学習プラットフォーム「KENRO(ケンロー)」、Policy as Codeの取り組みを実現しソフトウェアサプライチェーンの安全を守るセキュリティプラットフォーム「Shisho Cloud(シショウクラウド)」を提供しています。 Frame 6

各サービスの詳細情報・お問い合わせは以下よりアクセス可能です。

特に「KENRO」はメールアドレスの登録だけで無料・期間無制限のトライアルをすぐに利用可能です。是非ご利用ください。