コンテンツにスキップ

Security

Wink セキュリティ概要ドキュメント

Section titled “Wink セキュリティ概要ドキュメント”

最終更新日: 2024年9月7日

バージョン1.0

セキュリティとユーザーデータ保護への継続的な取り組みの一環として、当社はウェブアプリケーションに対して定期的に侵入テストを実施しています。このドキュメントでは、当社のテスト手法の概要、調査結果の概要、そして継続的なセキュリティ改善への取り組みについてご説明します。

このドキュメントは、新しいレポートが作成されるか、大きな変更が発生するたびに更新されます。

対象ドメイン:
*.wink.travel
*.trippay.io

侵入テストは毎年実施しており、アプリケーションやインフラストラクチャの大幅なアップデート後は必要に応じて追加テストを実施しています。この定期的なテストにより、進化する脅威に先手を打つことができ、安全な環境を維持しています。

当社の侵入テストは包括的であり、以下を含むがこれに限定されない幅広いセキュリティ側面をカバーしています。

  • OWASP トップ10:当社のテストは、インジェクション、認証の破損、クロスサイト スクリプティング (XSS) などの最も重大なセキュリティ リスクに特化しています。
  • ブラックボックステストとグレーボックステスト:私たちのチームは、範囲に応じてこれらの方法論を利用して、外部攻撃と内部攻撃の両方のシナリオをシミュレートします。
  • 自動テストと手動テスト:当社では、業界をリードするセキュリティテストツールセットであるBurp Suite Proを使用して、自動セキュリティスキャンを実施し、手動テスト技術を補助することで、複雑な脆弱性を特定し、最大限のカバレッジを実現しています。より具体的な脆弱性の特定には、SQLmapなどの専用ツールを使用しています。

以下は、当社の最新の侵入テスト レポートの概要です。

  • 特定された脆弱性の総数:2
  • 重症度分布:
    • クリティカル: 2
  • 検出された脆弱性の種類:
    • アクセス制御の不備
    • 安全でない設計

詳細な調査結果については、完全なレポートを参照してください。

発見された脆弱性はいずれも深刻な経済的影響を及ぼす可能性があるため、「重大」と評価されています。1つ目の脆弱性は、悪意のある認証済みユーザーが他社のTrippay決済アカウントを乗っ取ることを可能としていました。2つ目の脆弱性は、悪意のあるユーザーが予約に必要な支払額を改ざんすることを可能としていました。

特定された脆弱性に対処するために、以下の手順を実行しました。

  • 即時パッチ:重大な脆弱性は発見後 48 時間以内に修正されました。
  • コードレビューと強化:開発チームは、弊社の推奨に基づいて追加のセキュリティ制御を実装しました。

侵入テストは、継続的なセキュリティ向上に向けた当社の広範な戦略の一環です。各テストの結果は、セキュリティポリシーの策定、開発手法の策定、そしてセキュリティアーキテクチャの強化に役立っています。

当社の侵入テストは、様々なプロジェクトや業界で豊富な経験を持つ社内の専門スタッフが実施します。最先端のツールと手法を駆使し、最新のセキュリティ脅威に対してアプリケーションを徹底的にテストします。

私たちは、ユーザーとステークホルダーの皆様のために、安全なアプリケーション環境を維持することに尽力しています。セキュリティテストと改善への継続的な取り組みは、進化する脅威からの保護に対する私たちのコミットメントを示すものです。

このドキュメントは、新しい侵入テストレポートが発行されるたびに継続的に更新されます。レポート全文をご覧になりたい場合は、下記のメールアドレスまでご連絡ください。今後の更新では、新たに特定された脆弱性、対策、テスト手法の調整などについてお知らせします。

詳細については、[email protected] までお問い合わせください。