株式会社Flatt Securityは9月26日、「セキュリティ診断」サービス内で個別に提供を行っていた「GraphQL診断」を正式に提供開始すると発表した。
同社が提供するセキュリティ診断は、アプリケーションの実装だけでなく、AWSやGCP、AzureといったパブリッククラウドやFirebaseなどのmBaaSの設定ミスまでを対象とし、多角的なリスクの洗い出しが可能。
GraphQL固有の脆弱性に対して正確な診断を行うためには、従来のREST APIとは異なるGraphQL固有のコンフィグレーションや実装を精査する必要があり、同社ではこれまで顧客の個別の要望に応じて診断を提供していたが、標準化された状態でサービスを提供できるよう正式にメニュー化した。すでにNFTトレーディングカードサービス事業などを行うAnique株式会社などへの提供実績があるという。
GraphQLを用いたWeb APIの診断を実施する際は、当該 APIが扱うデータの型やクエリの種類が定義されたスキーマファイルの提供が必要となる。さらに詳細な診断を希望する場合は、GraphQLのクエリを実際に処理するResolverの実装やバックエンドのデータベース等との連携を含めたシステム構成図の提供が必要となる。同社では提供された情報を精査し、「Introspection Queryが有効」「権限昇格」「認可制御の不備」「クエリを利用したDoS」等の脆弱性が存在しないか診断する。
同社は、これまでのセキュリティベンダと異なり、情報システム部門やセキュリティ運用管理者ではなく、ソフトウェアの「開発者」を対象としたサービス作りに注力しており、今後はソフトウェアサプライチェーンセキュリティ領域の課題解決のためのプロダクト開発等を進めていくという。
