IPAテクニカルウォッチ「ウェブサイトにおける脆弱性検査手法」の公開
2016年10月11日
省庁・団体名
独立行政法人情報処理推進機構(IPA)
概要
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、2013年に公開した“IPAテクニカルウォッチ”「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」として本日公開しました。
本書では、5種の無償ツールによる検出方法等の解説や、無償ツールの活用例を3点提案しています。
URL:https://www.ipa.go.jp/security/technicalwatch/20160928-2.html
内容
ウェブサイトの脆弱性が原因で発生した、情報漏えいや悪意あるサイトへの誘導などの被害は組織の業種、規模を問わず後を絶ちません。一般的にウェブサイトの脆弱性の検出と対策は“継続的な実施”と“開発時の集中的な実施”に大別されます。
IPAでは、こうした相次ぐインシデントは、後者の“開発時の集中的な実施”が不十分であることが原因と考えています。
一方、警察庁発表の報告書(*1)によれば、情報セキュリティ対策への投資について「費用対効果が見えない」58.4%、「コストがかかりすぎる」47.4%とあり、組織にとって脆弱性検出ツールやサービスの積極利用は、予算等の制約からハードルが高いと考えられます。
そこでIPAは、本書で5種(*2)の無償ツールによる検出の方法と結果等についての解説や以下の様な、無償ツール活用例を3点提案しています。
活用例1:開発時点で作り込まれてしまった可能性のある脆弱性の検出
活用例2:攻撃者に悪用される可能性のあるツールを利用した脆弱性の検出
活用例3:脆弱性検出による、次期開発に向けたセキュリティ予算の確保
特に、活用例3では脆弱性の検出に留まらず、検出された脆弱性が、次期開発に向けたセキュリティ予算確保のための経営層向け説得材料になりうるとして、無償ツールの活用を推奨しています。
なお、本書では、脆弱性検査に不慣れな初級者に“OWASP ZAP”の使用を推奨しています。
本書が経営者のセキュリティの意識向上と、ひいては組織における脆弱性対策促進の一助になることを期待しています。
脚注
(*1) 不正アクセス行為対策等の実態調査 調査報告書
https://www.npa.go.jp/cyber/research/h27/h27countermeasures.pdf
(*2) 2013年公開の「ウェブサイトにおける脆弱性検査手法の紹介」で対象としたのは、OWASP ZAP、Paros、ratproxyの3種。
(*3) IPAが公開しているウェブアプリケーションのAppGoat(アップゴート)に含まれる脆弱性(クロスサイトスクリプティング、SQLインジェクション)を検知したかどうかで判断した。
プレスリリースのダウンロード
資料のダウンロード
お問い合わせ
IPA 技術本部 セキュリティセンター 工藤(伊)/亀山
Tel: 03-5978-7527 Fax: 03-5978-7518