Web アプリケーション診断をはじめる
本チュートリアルで扱う機能は、Web アプリケーション診断機能をご契約いただいた組織でのみご利用いただけます。
Shisho Cloud で Web アプリケーションの自動セキュリティ診断の初期設定を行います。
Web アプリケーションを Shisho Cloud に登録する方法には以下の3通りがあります:
- Shisho Cloud に連携したクラウド上のリソースで動作する Web アプリケーションの場合
- それ以外の Web アプリケーションの場合
Attack Surface 一覧から登録する
アタックサーフェス一覧画面を開くと、Shisho Cloud が連携されたリソースから自動で検出したホストの一覧が表示されます。
アタックサーフェス一覧に表示されるホスト名はすべて Shisho Cloud に連携されたリソースの設定を参照して検知されたものです。外部連携完了直後だとすべてのホスト名を検知できていない可能性があります。
右側にある「登録」ボタンをクリックすると Web アプリケーションを登録するためのサイドオーバーが開きます。
アタックサーフェス一覧画面から Web アプリケーションを作る場合は選択したアタックサーフェスに紐付いたホスト名をスコープとして指定されています。もし変更の必要があれば今の段階で変更可能です。また、Web アプリケーション登録後でも編集可能です。
「アプリケーション名」(必須)と「説明」(任意)を埋めたら画面右下にある「登録」をクリックすることで Web アプリケーションが登録されます。
Security Graph から登録する
Security Graph 上にアタックサーフェスであるリソースが含まれていた場合、Security Graph 上から直接 Web アプリケーションを登録可能です。
わかりやすい例として、登録したい Web アプリケーションが稼働しているリソースの Security Graph ページを開いてください。
Security Graph 上で赤く描画されているノードにはアタックサーフェスが検知されています。赤色のノードを左クリックすることで左側にノードの詳細な情報が表示され、その中にアタックサーフェスというセクションが存在します。セクション右下にある「アプリケーションを登録」をクリックすることで Web アプリケーションを登録するためのモーダルが表示されます。
また、赤色のノードを右クリックすることでメニューが表示され、こちらのメニューからも Web アプリケーションを登録できます。
手動で登録する
まず Web アプリケーション一覧画面を開き、右上にある「アプリケーションの登録」ボタンをクリックします。
アプリケーション追加画面の「スコープ」欄には、診断対象とする URL を指定します。
必要事項を記入したら、「登録」ボタンをクリックして Web アプリケーションを登録します。
次に、診断対象エンドポイントを洗い出す手順に進みます。