2007年12月14日 04時45分 UPDATE
特集/連載

万能ではないが検討の価値ありWebアプリケーション脆弱性スキャナの勧め

脆弱性スキャナは、開発者が潜在的なセキュリティホールを調査し、発見するのをサポートするツール。手動で行うと時間がかかる面倒な作業を自動化してくれる。

[Michael Cobb,TechTarget]

 あらゆる規模の企業がWebアプリケーションを利用している。そしてハッカーはこうしたオンラインアプリケーションの弱点を常に探っている。Webアプリケーションは価値の高いバックエンドデータベースへの入り口になるからだ。ブログやWiki、RSSなど、先進的なインターネット技術によるWeb2.0機能の登場に伴い、Webアプリケーションは強力かつ複雑になり、急速な進化を遂げている。そうした中でアプリケーションに新たな脆弱性が発生する可能性が増大している。

 開発者が潜在的なセキュリティホールを調査し、発見するのを支援するツールとして、Webアプリケーション脆弱性スキャナが多数提供されている。こうしたツールは、手動で行うと時間がかかる面倒な作業を自動化し、スピードアップすることを目的としている。Webサイト内を巡回して各種の攻撃シナリオを試行することで、スキャナはアプリケーションの応答をセキュリティ脆弱性シグネチャのデータベースと照合する。

普及が進まない理由

 Webアプリケーション脆弱性スキャナは便利ではあるが、すべての開発チームにとっての必携ツールとして定着するには至っていない。その大きな理由はコストだ。しかし、無料で入手できる優れたオープンソーススキャナもいろいろある。以下では、Webアプリケーション脆弱性スキャナの導入がなかなか進まない幾つかの理由を検討してみよう。

選択肢が非常に多い

 脆弱性スキャナの購入を検討する人の多くは、さまざまなスキャナを比較して選択するのが難しいことに気付く。予算要件と、特定のアプリケーションプラットフォームに対応する機能要件の両方を満たすスキャナはなさそうに見える。だが、スキャナの比較と選択の参考になるWeb Application Security Scanner Evaluation Criteria(英語)が公開されており、手軽に利用できる。これは、Webアプリケーションの脆弱性を特定する機能についてWebアプリケーションセキュリティスキャナを評価するための一連のガイドラインをまとめたものだ。

限られた脆弱性しか発見できない

ITmedia マーケティング新着記事

news009.jpg

Google「Pixel 3a」(SIMフリー版)をメルマガ購読者に差し上げます
メールマガジン「ITmedia マーケティング通信」を新規にご購読いただいた方の中から抽選...

news100.jpg

ファンケル、PLAZA、QVC 小売業が自社アプリを持つべき理由とは?
2019年5月15日に開催された「アプリの虎 Vol.4 〜有名企業のアプリ活用最前線〜」におい...

news016.jpg

先進的なCMOを擁する企業は他社より11%高い株主利益を創出――アクセンチュア調査
アクセンチュアは日本を含む世界の大企業のCMOとCEOを対象にした調査を実施しました。