GraphQLのリスク診断サービス提供開始 | ScanNetSecurity
2024.05.29(水)

GraphQLのリスク診断サービス提供開始

 株式会社Flatt Securityは9月26日、「セキュリティ診断」サービス内で個別に提供を行っていた「GraphQL診断」を正式に提供開始すると発表した。

製品・サービス・業界動向 新製品・新サービス

 株式会社Flatt Securityは9月26日、「セキュリティ診断」サービス内で個別に提供を行っていた「GraphQL診断」を正式に提供開始すると発表した。

 同社が提供するセキュリティ診断は、アプリケーションの実装だけでなく、AWSやGCP、AzureといったパブリッククラウドやFirebaseなどのmBaaSの設定ミスまでを対象とし、多角的なリスクの洗い出しが可能。

 GraphQL固有の脆弱性に対して正確な診断を行うためには、従来のREST APIとは異なるGraphQL固有のコンフィグレーションや実装を精査する必要があり、同社ではこれまで顧客の個別の要望に応じて診断を提供していたが、標準化された状態でサービスを提供できるよう正式にメニュー化した。すでにNFTトレーディングカードサービス事業などを行うAnique株式会社などへの提供実績があるという。

 GraphQLを用いたWeb APIの診断を実施する際は、当該 APIが扱うデータの型やクエリの種類が定義されたスキーマファイルの提供が必要となる。さらに詳細な診断を希望する場合は、GraphQLのクエリを実際に処理するResolverの実装やバックエンドのデータベース等との連携を含めたシステム構成図の提供が必要となる。同社では提供された情報を精査し、「Introspection Queryが有効」「権限昇格」「認可制御の不備」「クエリを利用したDoS」等の脆弱性が存在しないか診断する。

 同社は、これまでのセキュリティベンダと異なり、情報システム部門やセキュリティ運用管理者ではなく、ソフトウェアの「開発者」を対象としたサービス作りに注力しており、今後はソフトウェアサプライチェーンセキュリティ領域の課題解決のためのプロダクト開発等を進めていくという。

《高橋 潤哉》

関連記事

特集

PageTop

アクセスランキング

  1. 半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

    半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

  2. SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

    SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

  3. 社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

    社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

  4. クロネコメンバーズにパスワードリスト攻撃による不正ログイン、3,467件が閲覧された可能性(ヤマト運輸)

    クロネコメンバーズにパスワードリスト攻撃による不正ログイン、3,467件が閲覧された可能性(ヤマト運輸)

  5. 岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

    岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

  6. セキュリティ企業ホラ吹きCEOバカ一代記

    セキュリティ企業ホラ吹きCEOバカ一代記

  7. バッファロー製 Wi-Fi ルータ WSR-1166DHP シリーズのボット感染を確認、複雑なパスワードへの変更を呼びかけ

    バッファロー製 Wi-Fi ルータ WSR-1166DHP シリーズのボット感染を確認、複雑なパスワードへの変更を呼びかけ

  8. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  9. 日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

    日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

  10. 北洲のサーバに不正アクセス、攻撃者が一部ファイルを開いた可能性を確認

    北洲のサーバに不正アクセス、攻撃者が一部ファイルを開いた可能性を確認

ランキングをもっと見る