Webサービスの開発トレンドに対応　セキュリティ診断の新メニュー「SPA診断」を提供開始

　「SPA診断」は、セキュリティエンジニアがSPAのソースコードや仕様書、設計書を調査・検証することで脆弱性のチェックを行う「ホワイトボックス形式」の診断メニューです。セキュリティエンジニアが開発組織外部の立場から擬似攻撃を行うことにより脆弱性調査を行う「ブラックボックス形式」の診断では発見することが難しい脆弱性も検出することができます。

　セキュリティ診断メニュー「Webアプリケーション診断」と組み合わせて利用することにより、サービスのバックエンドとして機能するサーバーサイドと併せてセキュリティリスクの調査・検証が可能です。

■SPAとは

　Webブラウザの単一ページ上で、ページ遷移なしに多様でリッチなコンテンツを高速で提供できる仕組みです。SPA以前のフレームワーク（MPA）がコンテンツ切り替えごとにページ切り替えを必要としていたのに対し、SPAでは単一ページ上でページ切り替えなしに様々なコンテンツを表現することが可能になっています。SPAを実装したWebサービスはUI・UXを向上させやすいため、近年のWebサービス開発におけるトレンドとなっています。

■提供開始の背景
　Webサービスの脆弱性を狙ったサイバー攻撃は後を立たず、昨今手口の巧妙化や攻撃対象の多様化が加速しています。

　また、SPAの登場とともに、Webサービスのフロントエンドで実現できる機能の幅が増えたことにより、フロントエンドの脆弱性も多様化し、バックエンドであるサーバーサイドだけでなく、フロントエンドの脆弱性に対処することが必要不可欠となっています。

　Flatt Securityは従来より、ブラックボックス形式によりWebサービスのフロントエンドとバックエンド両方のセキュリティリスク調査を行う「Webアプリケーション診断」を提供し、Webサービス開発組織のセキュリティ対策をサポートしてまいりました。この度、Webサービス開発のトレンドであるSPAに特化し、さらに高度な脆弱性検出を行うことで、よりセキュアなWebサービス開発を実現すべく、「SPA診断」を新たに提供することといたしました。

■「SPA診断」の概要（URL：https://flatt.tech/assessment/spa）
　SPAを実装したWebサービスのフロントエンドをホワイトボックス形式で診断します。診断対象となるWebサービスのフロントエンドのソースコードを、Flatt Securityのセキュリティエンジニアが読み確認することで、脆弱性の検証・調査を行います。ブラックボックス形式のセキュリティ診断に比べて、より網羅的な脆弱性の洗い出しが可能となっており、ブラックボックス形式では発見が難しかった高度な脆弱性の検出もできるのが大きな特徴です。

＜診断観点（例）＞

• DOM based XSS

　SPAのJavaScriptがユーザーの入力値を適切に処理しないことにより、外部から注入された悪意あるスクリプトが実行されてしまう脆弱性
 

• CSSインジェクション

　外部からスタイルシートもしくは<style>タグを注入できてしまうことにより、HTML内部のデータが漏洩してしまう脆弱性
 

• オープンリダイレクト

　外部から与えられたパラメータを利用してリダイレクト先を決める機能を第三者が悪用することで、第三者が任意のリダイレクト先を指定できてしまう（悪意ある転送ができてしまう）脆弱性
 

• クライアントサイドDoS

　不正な入力やエラーハンドリングの不備などにより、サービス利用が妨げられてしまう脆弱性
 

• クライアントサイドプロトタイプ汚染

　JavaScriptオブジェクトのプロパティが変更されることで、意図しない挙動を引き起こす脆弱性

　なお、「SPA診断」は、ブラックボックス形式の「Webアプリケーション診断」とセットでのご利用を想定しております。詳しいご利用条件や、料金については以下までお問い合わせください。

●セキュリティ診断に関するお問い合わせ先
　お問い合わせフォーム：https://flatt.tech/contact

■先行事例（三井物産デジタル・アセットマネジメント株式会社）

　三井物産デジタル・アセットマネジメント株式会社に「SPA診断」及び「Webアプリケーション（API）診断」をご利用いただき、プロ投資家限定のオンライン投資サービス「ALTERNA PRO（旧名：ALTERNA）」（URL：https://www.alterna-x.com/）を対象とした脆弱性調査・検証を実施いたしました。診断の経緯や概要についてのインタビュー記事を公開しておりますので、以下URLよりご参照ください。

・診断事例インタビュー（三井物産デジタル・アセットマネジメント株式会社）
　URL：https://flatt.tech/assessment/voice/mdm

■ 「セキュリティ診断」について（URL：https://flatt.tech/assessment/detail ）
　セキュリティエンジニアが、Webサービスやスマートフォンアプリを対象として情報漏洩や不正利用につながる脆弱性がないか調査・検証し、レポーティングするサービスです。「脆弱性診断」とも呼ばれています。

　Flatt Securityの「セキュリティ診断」は、SaaS提供企業から社会インフラ提供企業、金融機関まで幅広い業界での診断実績を持ち、多様化する開発環境を理解した経験豊富なセキュリティエンジニアが実施します。アプリケーションの実装だけでなく、AWS・GCP・AzureといったパブリッククラウドやFirebaseをはじめとするmBaaSにも幅広く対応しているため、より多角的にリスクを洗い出すことが可能です。診断実施後のレポートも、それぞれの開発環境・開発者に寄り添った形でご提供させていただきます。

■株式会社Flatt Securityについて

　東京大学発のセキュリティスタートアップです。2019年のセキュリティ事業開始以来、「開発者のための次世代セキュリティサービスを届け、世界中のプロダクト開発を加速する」をコーポレートキャッチとして、Webプロダクト開発組織に向けた各種セキュリティ事業を展開しています。
 

●セキュアな設計・開発のためのクラウド型学習プラットフォーム「KENRO」
　（URL： https://flatt.tech/kenro ）
　メールアドレスの登録だけで無料・期間無制限のトライアルを実施しております。詳細は上記URLにてご案内していますので、ぜひご利用ください。

●ソフトウェアサプライチェーンを守るセキュリティプラットフォーム「Shisho Cloud」
　（URL： https://shisho.dev/jp ）
　ソフトウェアの開発から提供までの一連のプロセス（ソフトウェアサプライチェーン）の安全を守る、開発者向けのセキュリティプラットフォームです。セキュリティオペレーションのコストを最適化し、ソフトウェアサプライチェーン全体のリスク管理をサポートします。

■サービスに関するお問い合わせ先
　株式会社Flatt Security
　お問い合わせフォーム：https://flatt.tech/contact

◼︎会社情報
社名　　　：株式会社Flatt Security（フラットセキュリティ）
代表者　　：代表取締役社長　井手康貴
所在地　　：〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立　　　：2017年5月23日
事業内容　：サイバーセキュリティ関連サービス
Webサイト： https://flatt.tech
ブログ　　：https://blog.flatt.tech

Vue.js logo: ©︎ Evan You (CC BY-NC-SA 4.0 with extra conditions(It’s OK to illustrate a commercial product’s Vue.js integration in its marketing copy.)) / React logo: ©︎ Meta Platforms, Inc. (CC BY 4.0) / Angular logo: ©︎ Google (CC BY 4.0)
CC BY-NC-SA 4.0: https://creativecommons.org/licenses/by-nc-sa/4.0/
CC BY 4.0: https://creativecommons.org/licenses/by/4.0/
Copyright (C) 2022 Flatt Security, Inc.  All Rights Reserved.