Stateful APIスキャンをSOC運用に接続する: 検知を“修正完了”まで回す設計

Stateful APIスキャナの価値は、単一エンドポイントの静的チェックでは見えない「状態遷移起点の欠陥」を見つけられる点にあります。ログイン後の分岐、トークン更新、権限境界をまたぐ連続操作など、実際の攻撃に近い経路を再現できるためです。

ただし、検知精度が高くても、SOCと開発の連携が弱いと改善は進みません。レポートを投げるだけでは、重要度判定が揺れ、修正が後ろ倒しになります。

まず“行動に変換できる優先度”を定義する

スキャナ既定のスコアをそのまま使わず、業務影響で階層化します。

• P0: 認証/データ境界を跨ぐ実用的侵害（外部公開）
• P1: 前提条件はあるが高影響なロジック悪用
• P2: 条件付きで成立する中影響
• P3: 衛生改善・将来予防

各階層にオーナー、SLA、エスカレーション先を紐づけます。

SOC→開発の受け渡しを“契約化”する

チケット化時に最低限、次の情報を必須化してください。

• 攻撃経路（操作順序・前提条件）
• 再現手順（ヘッダ/状態遷移/リクエスト系列）
• 影響サービスとデータ分類
• 一時緩和策（WAFルール、レート制御など）
• クローズ判定条件（再スキャン成功条件）

再現可能情報が揃うだけで、修正速度は大きく改善します。

スコアではなく“悪用可能性”で並べ替える

実務向けには、次のような優先式が有効です。

priority = exploitability × data_sensitivity × exposure × detectability_gap

検知のしやすさ（detectability_gap）を入れることで、「気づきにくいが危険」な欠陥を上位に上げられます。

運用アーキテクチャの例

1. 夜間にstagingで主要ユーザージャーニーをstatefulスキャン
2. 高信頼の検知をSIEMとチケットへ同期
3. SOCが経路妥当性を確認しP0〜P3付与
4. 開発が修正し、セキュアレビューで承認
5. 同一シナリオの再スキャン成功でクローズ

週次で「再発クラス」を横断レビューすると、同型欠陥の再出現を抑えられます。

アラート疲労を防ぐ

stateful検知は情報量が多いため、重複を放置すると疲弊します。

• 根本原因単位でグルーピング
• 認証境界とエンドポイント系列で重複排除
• 抑制は期限付き・責任者付きのみ
• “再オープン率”を品質KPI化

件数を減らすより、修正完了率を上げる運用に寄せることが重要です。

60日導入プラン

• Day 1–15: 重要フロー選定と攻撃状態モデル化
• Day 16–30: SOCトリアージテンプレート統一
• Day 31–45: P0/P1の期限付き修正SLA開始
• Day 46–60: 経営向けダッシュボード公開（担当・期限・再発率）

Stateful APIスキャンは“新しい検査ツール”ではなく、ロジック脆弱性の修正ループを組織に実装する取り組みです。検知からクローズまでの責任線を明確にしたチームほど、実際の悪用リスクを着実に下げられます。