本書は、ISOG-J WG1 の新技術に対する診断手法分科会によってまとめられたGraphQLに関する脆弱性診断のガイドラインです。
2015年にFacebook社によって開発されたGraphQLは、近年、日本においても普及が進んでおり、その特性を活かしてさまざまなアプリケーションのサーバサイドを支える技術として採用されています。一方で、実装によってはGraphQLの処理に起因する脆弱性が作りこまれてしまう恐れがあります。また、クロスサイトスクリプティングやSQLインジェクション等の一般的なWebアプリケーションの脆弱性についても合わせて考慮する必要があります。
そこで本書では、まず脆弱性を診断する視点から各脆弱性の概要を説明します。そして、開発者も自分でテストできるように診断手法や、実際に報告された脆弱性の事例についても記載しています。なお、一般的なWebアプリケーションの脆弱性については本書では紹介にとどめているため、「Webアプリケーション脆弱性診断ガイドライン」等と合わせて読むことを推奨します。
- 三井物産セキュアディレクション株式会社 廣田 一貴
- 三井物産セキュアディレクション株式会社 山本 健太
- 三井物産セキュアディレクション株式会社 洲崎 俊
- 株式会社セキュアスカイ・テクノロジー 岩間 湧
- NRIセキュアテクノロジーズ株式会社 田中 悠一郎
- LINE株式会社 林 義徳
NPO日本ネットワークセキュリティ協会は、ネットワーク・セキュリティ製品を提供しているベンダー、システムインテグレータ、インターネットプロバイダ等ネットワークセキュリティシステムに携わるベンダーが結集し、ネットワーク社会の情報セキュリティレベルの維持・向上および日本における情報セキュリティ意識の啓発に努めるとともに、最新の情報セキュリティ技術および情報セキュリティへの脅威に関する情報提供等を行うことで、情報化社会へ貢献することを目的としています。
日本セキュリティオペレーション事業者協議会(Information Security Operation providers Group Japan 略称: ISOG-J)は、セキュリティオペレーション技術向上、オペレータ人材育成および関係する組織・団体間の連携を推進することによって、セキュリティオペレーションサービスの普及とサービスレベルの向上を促し、安全で安心して利用できるIT環境実現に寄与することを目的として設立されました。
本書はISOG-J WG1 の新技術に対する診断手法分科会によって執筆されました。 本グループでは、比較的新しい技術に関して調査・研究しています。
XSSやSQLインジェクション等の脆弱性はすでに診断ツールが対応しているものの、たとえばGraphQLやWASM等に固有の脆弱性については、まだ各社内で確立されたツールや手法がない技術もあります。 これらの領域に関して、一般的に普及している技術について調査し、必要があればツールそのものを実装することで、診断手法を確立・ドキュメント化します。
分野によっては、こういった領域に関して親和性の高い学生も交えて、産学連携して進める予定です。
本プロジェクトに関して質問や要望、改善すべき点や感想等ございましたら、本GitHubのIssueにてご連絡いただけますと幸いです。