案件概要

クライアントの各Webサイトに対しCxSASTの自動スキャン結果を精査し、誤検知の洗い出しと真の脆弱性の確定を実施しました。指摘内容をソースコードと処理フローで裏取りし、True Positive／False Positiveを分類しました。真の脆弱性には原因・影響・推奨対処を整理した評価レポートとして取りまとめ、技術・管理の双方で活用できる形で提供しました。

利用した技術スタック及び開発ツール

• プログラミング言語：PHP、Perl
• バックエンドフレームワーク：CakePHP 2.x、Mojolicious
• タスク管理ツール：Excel
• コニュニケーションツール：Redmine

クライアントの課題

• 警告の真偽不明
  自動スキャンにより多数の指摘が上がる一方、誤検知も混在し判断が難しい状況でした。
• 対応優先度の不透明
  実害のある脆弱性がどれか特定できず、限られたリソースの配分が定まりませんでした。
• 実務に使える整理不足
  技術・管理の双方で意思決定に使える、明瞭な評価レポートが不足していました。

クライアントの要望

• 各指摘をWebセキュリティ原則とコード動作で検証すること。
• ソースコード読解により根本原因を確認すること。
• True Positive／False Positiveを明確に分類すること。
• 真の脆弱性ごとに対処策を提案すること。
• 技術・管理の双方が使いやすい形で結果を提示すること。

当社の提案・アプローチ

• 知見に基づく分析
   Webセキュリティの原則と実装観点から指摘を再評価し、検出ロジックの前提と実装差を擦り合わせました。

• コード突合とフロー追跡
  レポート内容をソースコードと処理フローで裏取りし、入力点から出力までのデータ経路とサニタイズ有無を確認して原因と影響度を明確化しました。

• 分類表の作成
  各指摘をTrue/Falseで分類し、判断根拠と影響範囲、想定される発生条件を簡潔に付記しました。

• 具体策の提示
  真の脆弱性にはコード修正や設定変更などの対処案を提示し、適用箇所と期待効果を併記して実装に繋がる情報量を確保しました。