Flatt Security、GraphQL利用のWebアプリを対象にしたセキュリティ診断メニューを正式提供

　株式会社Flatt Securityは26日、「セキュリティ診断」サービスで、これまで顧客の要望に応じて個別に提供を行っていた「GraphQL診断」を、正式に提供開始すると発表した。

　「セキュリティ診断」サービスは、Webサービスやスマートフォンアプリを対象に、情報漏えいや不正利用につながる脆弱性がないかをセキュリティエンジニアが検証し、レポーティングするサービス。アプリケーションの実装だけでなく、AWS/GCP/Azureといったパブリッククラウドや、FirebaseのようなmBaaSの設定ミスも対象にして、多角的にリスクを洗い出せる。

　Flatt Securityでは、GraphQLはモダンなWebアプリケーション開発者から人気を集める一方で、従来の Web API（いわゆるREST API）とは大きく異なる性質を持つため、GraphQL利用時にはGraphQL固有のセキュリティ観点が生まれ、開発者は注意して設計・実装を行う必要があると説明。また、GraphQL固有の脆弱性に対して正確な診断を行うためには、GraphQL固有のコンフィグレーションや実装を精査する必要があり、これまでも個別の要望に応じてそうした診断を提供してきたという。

　一方、GraphQLの需要は高まっていることから、GraphQLを利用したWebアプリケーションのセキュリティ対策を必要とする組織に向け、広くサービスを標準化された状態で提供できるよう、正式にメニュー化したとしている。

　サービスでは、GraphQLを用いたWeb APIの診断を実施する際に、当該APIが扱うデータの型やクエリの種類が定義されたスキーマファイルの提供を依頼する。より詳細な診断を希望する場合には、さらにGraphQLのクエリを実際に処理するResolverの実装や、バックエンドのデータベースなどとの連携を含めたシステム構成図を提供してもらい、これらの情報を精査して、脆弱性が存在しないかを診断する。