Tweet

ブロードバンドルータに対する実践結果も

ファジングの有効性、知ってますか？ IPAが手引きを公開

2012/03/27

　情報処理推進機構（IPA）は3月27日、「ファジング活用の手引き」と題する文書をWebサイトで公開した。

　ファジングとは、ソフトウェアに存在している脆弱性を見つけ出す手法の1つだ。ソースコードを直接解析する代わりに、極端に長い文字列などの予測不可能なデータを送り込んでソフトウェアの挙動を観察し、脆弱性を発見する。ツールによる自動化が容易なことが特徴の1つだ。

　IPAによると、マイクロソフトなど国外の大手IT企業では、ソフトウェア品質の向上や製品出荷前の脆弱性検出を目的に、ファジングを開発ライフサイクルに組み込んでいる。一方で国内ではまだ、ファジング自体の認知、普及が進んでいない。

　今回公表された文書は、こうした状況を踏まえて作成された。ファジングの概要に始まり、ソフトウェア開発ライフサイクルにおける活用方法、ファジングの実践方法までを紹介している。さらに、「Taof」「Peach」といったファジングツールの使い方を紹介した別冊「ファジング実践資料」も同時に公開する。

　なおIPAでは2011年8月から、ファジングの有効性の実証、普及促進を目的とした「脆弱性検出の普及活動」に取り組んでおり、その一巻としてブロードバンドルータ6機種に対してファジングを実施した。この結果、3機種で合計6件の脆弱性が検出できたという。この実践結果も、手引きの中で紹介されている。

　IPAでは、手引きの公開によってソフトウェア製品開発ライフサイクルへのファジング導入と、ソフトウェア製品の脆弱性の減少につながることを期待したいとしている。また、2012年度以降も脆弱性検出の普及活動を継続し、デジタルテレビなどの情報家電にもファジングを実践して、有効性をさらに実証していく方針だ。