| name | vulnerability-analysis |
| description | セキュリティ脆弱性分析の依頼内容を、ソフトウェア開発向けかインフラ運用・保守向けかに切り分ける必要がある場合にこのスキルを使用してください。
適切な観点を選ぶための分類基準を提供します。
|
脆弱性分析スキル
このスキルは、脆弱性分析の依頼を適切な専門観点へ振り分けるための入口です。詳細な分析は、対象に応じて関連スキルを使い分けます。
関連スキル
software-vulnerability-analysis
- アプリケーションコード、API、認証認可、依存関係、フレームワーク設定を主対象とする
infrastructure-vulnerability-analysis
- サーバー、クラウド設定、ネットワーク、権限管理、監視、パッチ運用、バックアップ、運用手順を主対象とする
有効化するタイミング
- ユーザーの依頼がソフトウェアとインフラのどちらを主対象にしているか曖昧な場合
- アプリケーション脆弱性と基盤設定不備が混在している場合
- どの専門観点でレビューを進めるべきか最初に整理したい場合
分類ルール
ソフトウェア開発を主対象とするケース
- ソースコード、ライブラリ、API 実装の不備を分析する
- SQL インジェクション、XSS、CSRF、SSRF、IDOR、認証認可不備を扱う
- セッション管理、入力検証、データ保護、秘密情報のハードコードを扱う
- 依存関係やフレームワーク設定に起因するリスクを扱う
インフラ運用・保守を主対象とするケース
- サーバー、ネットワーク、実行基盤、クラウド設定の不備を分析する
- 権限管理、アクセス制御、ネットワーク到達性、証明書管理を扱う
- パッチ運用、EOL ソフトウェア、監視、ログ保全、バックアップ、復旧手順を扱う
- 運用フローや構成管理の不備に起因するリスクを扱う
両方が関係するケース
- 主対象を 1 つ決め、もう一方を副次観点として補足する
- 認可不備が本質で境界防御の設定不備が被害拡大要因である場合、主対象はソフトウェア開発とする
- 公開ストレージ設定不備が本質でアプリの入力制御が副次要因である場合、主対象はインフラ運用・保守とする
出力時の指針
- 最初に、分析対象がソフトウェア開発とインフラ運用・保守のどちらなのかを明記する
- ソフトウェアとインフラの論点は混在させず、必要なら章を分けて記述する
- どのスキル観点で分析したかを明確にする