Flatt SecurityがGraphQL利用のWebアプリケーションを対象にしたセキュリティ診断メニューを正式に提供開始

昨今Web開発において人気を集めるGraphQLに固有のセキュリティリスクが悪用されることを防ぎます。

株式会社Flatt Security

サイバーセキュリティ事業を展開する株式会社Flatt Security(本社:東京都文京区、代表取締役社長:井手康貴)は9月26日、「セキュリティ診断」サービス内において以前よりお客様のご要望に応じて個別に提供を行っていた「GraphQL診断」を正式に提供開始することをお知らせいたします。


Flatt Securityは「セキュリティ診断」サービスにおいて、GraphQLを用いたAPIを持つWebアプリケーションを対象とした診断メニュー「GraphQL診断」を正式に提供を開始いたします。

「GraphQL診断」メニューページ
https://flatt.tech/assessment/graphql


■ 「セキュリティ診断」サービスとは

「セキュリティ診断」は「脆弱性診断」とも呼ばれ、Webサービスやスマートフォンアプリを対象にして情報漏洩や不正利用につながる脆弱性がないかセキュリティエンジニアが検証し、レポーティングするサービスです。
こうした脆弱性の検出はツールによる自動診断だけでは難しく、インターネット上で金融、医療、人事等にまつわる機微な情報がますます活発に扱われている現代においてセキュリティエンジニアのような専門家による診断は必須となっています。

Flatt Securityの診断はアプリケーションの実装だけでなく、AWS・GCP・AzureといったパブリッククラウドやFirebaseのようなmBaaSの設定ミスまで対象にして多角的にリスクを洗い出すことが可能です。

「セキュリティ診断」サービスページ
https://flatt.tech/assessment/detail 


■「GraphQL診断」提供開始の背景

GraphQLはモダンなWebアプリケーション開発者から人気を集める一方で、従来の Web API (いわゆる REST API) とは大きく異なる性質を持つ以上、GraphQL利用時にはGraphQL固有のセキュリティ観点が生まれ、開発者は注意して設計・実装を行わなくてはなりません。
 


開発者にそのような知識を提供するため、Flatt SecurityはWebエンジニア向けセキュアコーディング演習の「KENRO」において「GraphQLの基礎とセキュリティ」という学習コースを提供しています。

「KENRO」サービスページ
https://flatt.tech/kenro 

また、GraphQL固有の脆弱性に対して正確な診断を行うためには、REST APIのそれとは大きく異なる、GraphQL固有のコンフィグレーションや実装を精査する必要があります。Flatt Securityはこれまでもお客様の個別のご要望に応じてそのような診断を提供してきました。

ですが、GraphQLの人気ゆえその需要は日々高まっており、GraphQLを利用したWebアプリケーションのセキュリティ対策を必要とするより多くの皆様に広くサービスを標準化された状態で提供できるよう、正式にメニュー化するに至りました。


■「GraphQL診断」メニュー概要

GraphQLを用いたWeb APIの診断を実施する際には、当該 APIが扱うデータの型やクエリの種類が定義されたスキーマファイルの提供をご依頼します。 より詳細な診断をご希望される際には、上記に加えてGraphQLのクエリを実際に処理するResolverの実装やバックエンドのデータベース等との連携を含めたシステム構成図をご提供いただきます。

これらの情報を精査し、以下のような観点の脆弱性が存在しないか診断します。
  • Introspection Queryが有効
  • 権限昇格
  • 認可制御の不備
  • クエリを利用したDoS
詳細は以下よりご覧ください。

「GraphQL診断」メニューページ
https://flatt.tech/assessment/graphql

また、過去に「GraphQL診断」の内容を含む診断を実施した事例としてAnique株式会社様のインタビューを公開中です。ぜひご覧ください。
 


NFTサービスのセキュリティ診断を実施。「ロールバックできないブロックチェーンだからこそ入り口を固める必要がある」
https://flatt.tech/assessment/voice/anique 


■ Flatt Securityは「開発者のためのセキュリティサービス」を提供します

Flatt Securityは「現代の開発者の価値観にぴったりフィットしたセキュリティサービスを提供する」ことを目指しており、今回の「GraphQL診断」の正式メニュー化もその一環です。

先述の通り、GraphQL利用時にはGraphQL固有のセキュリティ観点が生まれ、開発者は注意して設計・実装を行わなくてはなりませんが、これはGraphQLに限らず様々なモダンな技術に対しても同様のことが言えます。

開発者を取り巻く技術スタックが多様化する現代、至る所で開発者は特定の技術固有のセキュリティ観点に気をつけなければいけません。しかしそれを全ての開発者が100%の精度でこなすのは現実的ではない以上、Flatt Securityのプロフェッショナルサービス事業部はその役目を代わりに担えるよう最新技術にキャッチアップし続け、現代の開発者をサポートするにふさわしい専門家のあり方を体現していきます。

 



■ Flatt Securityの「開発者のためのセキュリティサービス」

Flatt Securityは本プレスリリースで紹介した「セキュリティ診断」の他、エンジニアがセキュアにWebアプリケーションの設計・開発を行うためのクラウド型学習プラットフォーム「KENRO(ケンロー)」、Policy as Codeの取り組みを実現しソフトウェアサプライチェーンの安全を守るセキュリティプラットフォーム「Shisho Cloud(シショウクラウド)」を提供しています。
 


各サービスの詳細情報・お問い合わせは以下のURLよりアクセス可能です。

特に「KENRO」はメールアドレスの登録だけで無料・期間無制限のトライアルをすぐに利用可能です。是非ご利用ください。
◼︎会社情報
 


社名:株式会社Flatt Security
代表取締役社長:井手康貴
所在地:〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立:2017年5月23日
Webサイト: https://flatt.tech
ブログ:https://blog.flatt.tech
事業内容:サイバーセキュリティ関連サービス

すべての画像


ダウンロード
プレスリリース素材

このプレスリリース内で使われている画像ファイルがダウンロードできます

会社概要

株式会社Flatt Security

18フォロワー

RSS
URL
https://flatt.tech
業種
情報通信
本社所在地
東京都渋谷区桜丘町26-1 セルリアンタワー6階
電話番号
-
代表者名
井手康貴
上場
未上場
資本金
1億円
設立
2017年05月