GraphQLのリスク診断サービス提供開始 | ScanNetSecurity
2024.03.19(火)

GraphQLのリスク診断サービス提供開始

 株式会社Flatt Securityは9月26日、「セキュリティ診断」サービス内で個別に提供を行っていた「GraphQL診断」を正式に提供開始すると発表した。

製品・サービス・業界動向 新製品・新サービス

 株式会社Flatt Securityは9月26日、「セキュリティ診断」サービス内で個別に提供を行っていた「GraphQL診断」を正式に提供開始すると発表した。

 同社が提供するセキュリティ診断は、アプリケーションの実装だけでなく、AWSやGCP、AzureといったパブリッククラウドやFirebaseなどのmBaaSの設定ミスまでを対象とし、多角的なリスクの洗い出しが可能。

 GraphQL固有の脆弱性に対して正確な診断を行うためには、従来のREST APIとは異なるGraphQL固有のコンフィグレーションや実装を精査する必要があり、同社ではこれまで顧客の個別の要望に応じて診断を提供していたが、標準化された状態でサービスを提供できるよう正式にメニュー化した。すでにNFTトレーディングカードサービス事業などを行うAnique株式会社などへの提供実績があるという。

 GraphQLを用いたWeb APIの診断を実施する際は、当該 APIが扱うデータの型やクエリの種類が定義されたスキーマファイルの提供が必要となる。さらに詳細な診断を希望する場合は、GraphQLのクエリを実際に処理するResolverの実装やバックエンドのデータベース等との連携を含めたシステム構成図の提供が必要となる。同社では提供された情報を精査し、「Introspection Queryが有効」「権限昇格」「認可制御の不備」「クエリを利用したDoS」等の脆弱性が存在しないか診断する。

 同社は、これまでのセキュリティベンダと異なり、情報システム部門やセキュリティ運用管理者ではなく、ソフトウェアの「開発者」を対象としたサービス作りに注力しており、今後はソフトウェアサプライチェーンセキュリティ領域の課題解決のためのプロダクト開発等を進めていくという。

《高橋 潤哉》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×