脆弱性スキャナは、開発者が潜在的なセキュリティホールを調査し、発見するのをサポートするツール。手動で行うと時間がかかる面倒な作業を自動化してくれる。
あらゆる規模の企業がWebアプリケーションを利用している。そしてハッカーはこうしたオンラインアプリケーションの弱点を常に探っている。Webアプリケーションは価値の高いバックエンドデータベースへの入り口になるからだ。ブログやWiki、RSSなど、先進的なインターネット技術によるWeb2.0機能の登場に伴い、Webアプリケーションは強力かつ複雑になり、急速な進化を遂げている。そうした中でアプリケーションに新たな脆弱性が発生する可能性が増大している。
開発者が潜在的なセキュリティホールを調査し、発見するのを支援するツールとして、Webアプリケーション脆弱性スキャナが多数提供されている。こうしたツールは、手動で行うと時間がかかる面倒な作業を自動化し、スピードアップすることを目的としている。Webサイト内を巡回して各種の攻撃シナリオを試行することで、スキャナはアプリケーションの応答をセキュリティ脆弱性シグネチャのデータベースと照合する。
Webアプリケーション脆弱性スキャナは便利ではあるが、すべての開発チームにとっての必携ツールとして定着するには至っていない。その大きな理由はコストだ。しかし、無料で入手できる優れたオープンソーススキャナもいろいろある。以下では、Webアプリケーション脆弱性スキャナの導入がなかなか進まない幾つかの理由を検討してみよう。
脆弱性スキャナの購入を検討する人の多くは、さまざまなスキャナを比較して選択するのが難しいことに気付く。予算要件と、特定のアプリケーションプラットフォームに対応する機能要件の両方を満たすスキャナはなさそうに見える。だが、スキャナの比較と選択の参考になるWeb Application Security Scanner Evaluation Criteria(英語)が公開されており、手軽に利用できる。これは、Webアプリケーションの脆弱性を特定する機能についてWebアプリケーションセキュリティスキャナを評価するための一連のガイドラインをまとめたものだ。
生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...
2023年のSNS炎上総数は189件、炎上元の媒体1位は「X」――コムニコ「炎上レポート」
コムニコが「炎上レポート」2023年版を公開しました。
今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...