脆弱性の深刻度
Takumi がセキュリティ診断を行った際に出力される結果のレポートには脆弱性の一覧が含まれています(チャット経由の依頼、Active Takumi 等全てのセキュリティ診断を含む)。各脆弱性は深刻度が判定され、その深刻度は以下5つの階層に分類されます。
| 深刻度 | 説明 |
|---|---|
| 重大 | 大規模な個人情報漏洩または決済やシステム全体の影響など、 事業の継続性に対して重大な影響を与える可能性がある脆弱性。 |
| 高 | 回復不能な個人情報の漏洩や重要な情報の改ざんなど、 事業の継続性に対して大きな影響を与える可能性がある脆弱性。 |
| 中 | 情報の回復不能でない漏洩など、事業の継続性に対して影響を与える可能性がある脆弱性。 |
| 低 | 事業の継続性に対して軽微な影響を与える可能性がある脆弱性。 または、ある脆弱性の発生やそれによって生じる影響を助長させる可能性がある設定不備等の問題。 |
| なし | 事業の継続性に影響がない設定不備や意図しない挙動。 |
以下に、例を一部挙げます。
- 重�大: SQL インジェクションによって、データベースに格納された個人情報が漏洩する。
- 高: 特定のリクエストによって Web アプリケーションの一部が停止し、関連機能の提供が不可能になる。
- 中: CSRF によって、正規のユーザーが意図しない変更をリクエストさせることが可能になる。
- 低: GraphQL API においてイントロスペクションクエリが許可されている。
- なし: セキュリティを強化するためのヘッダーが付与されていない。