2007年12月14日 04時45分 公開
特集/連載

Webアプリケーション脆弱性スキャナの勧め万能ではないが検討の価値あり

脆弱性スキャナは、開発者が潜在的なセキュリティホールを調査し、発見するのをサポートするツール。手動で行うと時間がかかる面倒な作業を自動化してくれる。

[Michael Cobb,TechTarget]

 あらゆる規模の企業がWebアプリケーションを利用している。そしてハッカーはこうしたオンラインアプリケーションの弱点を常に探っている。Webアプリケーションは価値の高いバックエンドデータベースへの入り口になるからだ。ブログやWiki、RSSなど、先進的なインターネット技術によるWeb2.0機能の登場に伴い、Webアプリケーションは強力かつ複雑になり、急速な進化を遂げている。そうした中でアプリケーションに新たな脆弱性が発生する可能性が増大している。

 開発者が潜在的なセキュリティホールを調査し、発見するのを支援するツールとして、Webアプリケーション脆弱性スキャナが多数提供されている。こうしたツールは、手動で行うと時間がかかる面倒な作業を自動化し、スピードアップすることを目的としている。Webサイト内を巡回して各種の攻撃シナリオを試行することで、スキャナはアプリケーションの応答をセキュリティ脆弱性シグネチャのデータベースと照合する。

普及が進まない理由

 Webアプリケーション脆弱性スキャナは便利ではあるが、すべての開発チームにとっての必携ツールとして定着するには至っていない。その大きな理由はコストだ。しかし、無料で入手できる優れたオープンソーススキャナもいろいろある。以下では、Webアプリケーション脆弱性スキャナの導入がなかなか進まない幾つかの理由を検討してみよう。

選択肢が非常に多い

 脆弱性スキャナの購入を検討する人の多くは、さまざまなスキャナを比較して選択するのが難しいことに気付く。予算要件と、特定のアプリケーションプラットフォームに対応する機能要件の両方を満たすスキャナはなさそうに見える。だが、スキャナの比較と選択の参考になるWeb Application Security Scanner Evaluation Criteria(英語)が公開されており、手軽に利用できる。これは、Webアプリケーションの脆弱性を特定する機能についてWebアプリケーションセキュリティスキャナを評価するための一連のガイドラインをまとめたものだ。

限られた脆弱性しか発見できない

ITmedia マーケティング新着記事

news092.jpg

営業デジタル化の始め方
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news086.jpg

「RED」「Bilibili」「Douyin」他 中国の主要SNSプラットフォームの特徴まとめ
トレンド変化の大きい中国においてマーケティングを成功させるためには、主要SNSプラット...

news162.jpg

コロナ禍における「ご自愛消費」の現状――スナックミー調査
「ご自愛消費」として最も多いのは「スイーツやおやつ」で全体の68%。その他、ランチ38...