2007年12月14日 04時45分 UPDATE
特集/連載

万能ではないが検討の価値ありWebアプリケーション脆弱性スキャナの勧め

脆弱性スキャナは、開発者が潜在的なセキュリティホールを調査し、発見するのをサポートするツール。手動で行うと時間がかかる面倒な作業を自動化してくれる。

[Michael Cobb,TechTarget]

 あらゆる規模の企業がWebアプリケーションを利用している。そしてハッカーはこうしたオンラインアプリケーションの弱点を常に探っている。Webアプリケーションは価値の高いバックエンドデータベースへの入り口になるからだ。ブログやWiki、RSSなど、先進的なインターネット技術によるWeb2.0機能の登場に伴い、Webアプリケーションは強力かつ複雑になり、急速な進化を遂げている。そうした中でアプリケーションに新たな脆弱性が発生する可能性が増大している。

 開発者が潜在的なセキュリティホールを調査し、発見するのを支援するツールとして、Webアプリケーション脆弱性スキャナが多数提供されている。こうしたツールは、手動で行うと時間がかかる面倒な作業を自動化し、スピードアップすることを目的としている。Webサイト内を巡回して各種の攻撃シナリオを試行することで、スキャナはアプリケーションの応答をセキュリティ脆弱性シグネチャのデータベースと照合する。

普及が進まない理由

 Webアプリケーション脆弱性スキャナは便利ではあるが、すべての開発チームにとっての必携ツールとして定着するには至っていない。その大きな理由はコストだ。しかし、無料で入手できる優れたオープンソーススキャナもいろいろある。以下では、Webアプリケーション脆弱性スキャナの導入がなかなか進まない幾つかの理由を検討してみよう。

選択肢が非常に多い

 脆弱性スキャナの購入を検討する人の多くは、さまざまなスキャナを比較して選択するのが難しいことに気付く。予算要件と、特定のアプリケーションプラットフォームに対応する機能要件の両方を満たすスキャナはなさそうに見える。だが、スキャナの比較と選択の参考になるWeb Application Security Scanner Evaluation Criteria(英語)が公開されており、手軽に利用できる。これは、Webアプリケーションの脆弱性を特定する機能についてWebアプリケーションセキュリティスキャナを評価するための一連のガイドラインをまとめたものだ。

限られた脆弱性しか発見できない

ITmedia マーケティング新着記事

news105.jpg

ITツールの利用効果に対する実感に世代間ギャップ――Dropbox Japan調査
国内企業における創造性とITツール利用に関する実態調査です。

news035.jpg

エードット×BIRDMAN デジタルクリエイティブ界の強力タッグが目指す「広告のいらない世界」
プロデュースカンパニーとして急成長中のエードットが総合クリエイティブプロダクション...

news092.jpg

10代女子に聞いたお年玉の使い道、「貯金」「推し活」が上位に――バイドゥ調べ
イマドキの女子はもらったお年玉をどう使っているのでしょうか。