セキュリティ
最終更新日: 2024年9月7日
バージョン 1.0
ユーザーデータの保護とセキュリティへの継続的な取り組みの一環として、当社はウェブアプリケーションに対して定期的にペネトレーションテストを実施しています。本書はテスト手法の概要、発見事項の要約、および継続的なセキュリティ改善へのアプローチを示します。
新しいレポートが作成された場合や重要な変更があった場合に、本書は更新されます。
対象ドメイン:
*.wink.travel
*.trippay.io
テスト頻度とスケジュール
Section titled “テスト頻度とスケジュール”ペネトレーションテストは年に一度実施し、アプリケーションやインフラに大きな更新があった場合には追加テストを予定しています。この定期的なテストにより、進化する脅威に先んじて安全な環境を維持しています。
当社のペネトレーションテストは包括的で、以下を含む多岐にわたるセキュリティ面をカバーしていますが、これらに限定されません:
- OWASP Top 10: インジェクション、認証の破損、クロスサイトスクリプティング(XSS)など、最も重大なセキュリティリスクを特に対象としています。
- ブラックボックスおよびグレーボックステスト: 範囲に応じて、外部および内部の攻撃シナリオをシミュレートするためにこれらの手法を活用しています。
- 自動化および手動テスト: Burp Suite Proという主要なセキュリティテストツールセットを使用し、自動スキャンと手動テストを組み合わせて複雑な脆弱性を特定し、可能な限りのカバレッジを確保しています。特定の脆弱性検出にはSQLmapなどの専門ツールも使用しています。
発見事項の概要
Section titled “発見事項の概要”直近のペネトレーションテストレポートのハイレベルな要約は以下の通りです:
- 特定された脆弱性の総数: 2件
- 重大度の分布:
- クリティカル: 2件
- 検出された脆弱性の種類:
- アクセス制御の破損
- 不安全な設計
詳細な発見事項については、完全なレポートをご参照ください。
リスク評価と影響
Section titled “リスク評価と影響”発見された2件の脆弱性はいずれもクリティカルと評価されており、いずれも重大な財務的影響を及ぼす可能性がありました。1件目は悪意のある認証済みユーザーが他社のTrippay決済アカウントを操作できるものでした。2件目は悪意のあるユーザーが予約に必要な支払金額を変更できるものでした。
修正および緩和措置
Section titled “修正および緩和措置”特定された脆弱性に対して以下の対応を行いました:
- 即時パッチ適用: クリティカルな脆弱性は発見から48時間以内に修正されました。
- コードレビューと強化: 開発チームは当社の推奨に基づき追加のセキュリティコントロールを実装しました。
継続的な改善
Section titled “継続的な改善”ペネトレーションテストは、当社の継続的なセキュリティ改善戦略の一部です。各テストの発見事項はセキュリティポリシーの指針となり、開発手法に影響を与え、セキュリティアーキテクチャの強化を促進します。
チームの専門知識
Section titled “チームの専門知識”当社のペネトレーションテストは、多様なプロジェクトや業界で豊富な経験を持つ社内の専門家によって実施されています。最新の脅威に対抗するため、先進的なツールと手法を用いて徹底的なテストを行っています。
セキュリティへのコミットメント
Section titled “セキュリティへのコミットメント”当社はユーザーおよび関係者のために安全なアプリケーション環境を維持することに専念しています。セキュリティテストと改善への継続的な取り組みは、進化する脅威からの保護に対する当社のコミットメントを示しています。
レポートのアクセスと更新
Section titled “レポートのアクセスと更新”本書は新しいペネトレーションテストレポートが発行されるたびに継続的に更新されます。完全なレポートへのアクセスをご希望の場合は、以下のメールアドレスまでご連絡ください。今後の更新には、新たに特定された脆弱性、修正措置、およびテスト手法の調整が含まれます。
ご質問は [email protected] までお問い合わせください。