IPA、OSSの脆弱性検査ツールの使い方をまとめたレポート公開：Webアプリの脆弱性検査にお金を掛けられない中小企業や組織に

情報処理推進機構は2013年12月12日、オープンソースのWebアプリ脆弱性検査ツールの特徴をまとめた「ウェブサイトにおける脆弱性検査の紹介（ウェブアプリケーション編）」を公表した。

[高橋睦美，＠IT]

　情報処理推進機構（IPA）は2013年12月12日、オープンソースのWebアプリ脆弱性検査ツールの特徴をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介（ウェブアプリケーション編）」を公表した。

　IPAは、「現在、Webサイトを持たない組織はまれである一方で、Webサイトの安全性を適切に確認できている組織は、それに必要な技術者やコストの確保の面で決して多くない」と指摘する。事実、2013年もまた、Webアプリケーションや、Webサイトを構成するCMS、あるいはApache Struts2などのミドルウェアの脆弱性を突いた攻撃が発生し、サイトの改ざんや情報漏洩といった被害が発生した。

　今回公表されたレポートは、こうした問題を踏まえ、自組織のWebサイトが安全かどうかをコストを掛けずに検査する方法を紹介し、被害防止の手助けとなることを目指したものだ。検査方法に基づいて「手動検査型」「自動検査型」「通信監視型」の3タイプに分けて、オープンソースで公開されている7種類の脆弱性検査ツールを紹介している。

　さらに、各方式の代表的なツールとして、「OWASP ZAP（Zed Attack Proxy）」「Paros」「Ratproxy」の3つを取り上げ、インストール方法や検査実行方法、レポートの読み解き方や利用時の注意点などを紹介。例えば、OWASP ZAPは「初級者向けで使いやすいが、本番環境への影響がある」、Ratproxyは「本番環境に影響はないが、手間が掛かる」、Parosは「きめ細かな検査が可能で操作もしやすいが、知識を持った上級者向け」など特徴も説明しているため、ニーズに応じたツールを選択する手助けになる。

　IPAでは、脆弱性「検査」はあくまで脆弱性「対策」の一部に過ぎず、セキュアコーディングなども重要であることに留意しつつも、こうしたツールを自組織で運用しているWebサイトの脆弱性検査に活用してほしいとしている。特に、コスト面で脆弱性検査の実施が困難な中小の企業、組織に、こうしたオープンソースのツールの活用を検討してほしいと呼び掛けている。