手軽なセキュリティスキャンサービス Walti.ioを試してみた

ウィスキー、シガー、パイプをこよなく愛する大栗です。 先日セキュリティスキャンサービスのWalti.ioが正式リリースしたので、早速試してみました。

Walti.ioとは？

Walti.ioとはSaas型のセキュリティスキャンサービスです。セキュリティスキャンが可能なものはファイアウォール設定(Portscan)、HTTPS設定(sslyze)、HTTPサーバ設定(nikto)、WEBアプリケーション脆弱性(skipfish)となっています。 Walti.ioの面白い特徴としてチームでの使用をサポートしていることが挙げられます。

アカウントの作成

まずはWalti.ioのアカウントを作成します。

Walti.ioのサイト(https://walti.io/)へアクセスし「今すぐアカウントを作成」をクリックします。

氏名、Username(アカウントID？)、Email、Passwordを入力します。

チームで使用するための「組織」の情報を入力します。

これでアカウントの設定は完了です。

[組織設定]-[組織に参加しているユーザ]で、同じ組織でWalti.ioを使用するユーザを招待しましょう。管理者を招待する場合には「管理者を[組織名]に招待する」、一般ユーザを招待する場合には「ユーザを[組織名]に招待する」をクリックします。

招待するユーザのメールアドレスを入力して招待します。

セキュリティテストの許可申請

次にスキャン対象のURLを入力したいところを我慢して、許可の申請をしましょう。 次のIaasベンダー(2014年12月31日時点)の場合は事前に許可を得ているので、そのままスキャン可能です。

• さくらインターネット
• IDCFフロンティア
• BIGLOBEクラウドホスティング
• ニフティクラウド

AWSの場合はAWS 脆弱性/侵入テストリクエストフォームに申請を行います。リクエストフォーム中の"Scanning IP addresses (Source)"にはWalti.ioのFAQ「どのIaaSやVPSへ対応していますか？」に記載があるIPアドレスを記載します。今後のアップデートでスキャン元のIPアドレスを固定できるようです。 申請後2、3日でAWSから回答がありますので許可を受けたら次を進めます。

スキャン対象の設定

Walti.ioでセキュイティチェックのスキャン対象URLを設定します。

トップの画面の「新規ターゲット」をクリックします。

セキュリティスキャンを行うURLを入力します。

「所有者確認」をクリックして、対象URLのサイトの所有確認を行います。

所有者確認のステップを確認します。

以下の用にURLの所有確認用のファイルの設定方法が表示されます。

対象のWebサーバで、以下のコマンドを実行して認証用のファイルを配置しましょう。

cd /var/www/html/
sudo curl -skL -o waltiXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.html "https://console.walti.io/ownershipfiles?key=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"

なお、所有者確認を行うサーバのアクセス元IPアドレスは、セキュリティスキャン用のIPアドレスとは異なるようですので、セキュリティグループでアクセス元を制限している場合は注意しましょう。

ファイルを配置して「確認＆スキャン」をクリックすると、所有者確認の完了後に、初回スキャンが始まります。所有者確認完了後に自動でスキャンが始まるので注意しましょう。

初回のスキャンはportscanとniktoが実行されました。

スキャンが完了すると以下のように、結果の概要が表示されます。 今回はApache 2.2のデフォルト設定の状態でスキャンし、portscanでポート80、niktoで5件の内容が検知されました。

niktoの結果詳細は、以下のレポートになります。

• The anti-clickjacking X-Frame-Options header is not present. クリックジャッキング防止のためのX-Frame-Optionsが設定されていないので、設定した方が良いでしょう。
• Allowed HTTP Methods: OPTIONS, GET, HEAD, POST OPTIONS、GET、HEAD、POSTのメソッドが許可されているので、必要なメソッドのみ許可すべきです。
• /icons/: Directory indexing found. ディレクトリインデックスが有効になっているので、無効にしましょう。
• Server leaks inodes via ETags, header found with file /icons/README, inode: 263668, size: 5108, mtime: 0x438c0358aae80 ETagの生成にinodeを使用しているためファイル自体に変更がなくてもETagの値が変わり不必要にネットワーク帯域を使用してしまうため、ETagの生成にinodeを使用しなくしましょう。
• /icons/README: Apache default file found. Apacheのデフォルトファイルが残っているので不要なファイルは消しましょう。

ターゲットを登録すると毎月10円分のスキャンが行えるようになります。友人の招待やSNSでの紹介、クレジットカードの登録で最大260円/月まで無料で使用できます。

さいごに

Walti.ioはAPIも公開しているので、CIの一環としてセキュリティスキャンを行うことも可能です。AWSの場合は脆弱性テストの申請が必要ですが。 Walti.ioはツール診断なので本格的なセキュリティ診断を行う場合は診断士によるマニュアル診断の組み合わせが必要となります。しかし、手軽にセキュリティスキャンを行うことができるサービスは有用です。

そもそもセキュアな設定、コードを書かなければならないので、Walti.ioなどのセキュリティ診断を過度に頼らずに、日頃セキュリティを意識する必要があります。 最近のアプリケーションではセキュアコーディングは必須となっていますのでWalti.ioでセキュリティのチェックを行い、堅牢なシステムを作成しましょう。

次は、skipfishを使用したWebアプリケーション脆弱性のスキャンを行いたいと思います。