Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年12月12日
最終更新日:2013年12月26日

IPA が無料の Web アプリ脆弱性診断ツール解説資料を公開

IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開:IPA 独立行政法人 情報処理推進機構

IPA がオープンソースで無料で使用できる、Web アプリケーション脆弱性診断ツールの使用方法と評価をまとめた資料を公開しました。

Web アプリケーション脆弱性診断となると、通常は、脆弱性診断ツールを購入するか、脆弱性診断サービスを利用することになります。しかし、下手をすれば開発費用よりも高くなったり、事情により費用を捻出できなかったりすることもあります。

そういう状況の中で、無料で利用できる Web アプリケーション診断ツールの存在はとてもありがたいものです。

ツールは英語のものがほとんどですが、今までこういうツールをまとめて紹介している資料というのは見当たりませんでした。また、使用方法や評価まで踏み込んでいるのはすばらしいと思います。

資料では、7 つの脆弱性診断ツールが紹介され、3 つのツールについて使用方法の解説と評価が記載されています。3 つのツールは、OWASP ZAP, Paros, Ratrproxy になります。

評価が高いのは、自動診断なら OWASP ZAP、手動診断なら Paros、本番環境に影響を与えない診断をするのなら Ratproxy になります。私も使用したことがありますが、OWASP ZAP は初心者にも使いやすいのでよいと思います。

資料でいいと思ったところは、Ratproxy を Windows 環境で動作させる方法が記載されていたことです。Ratproxy は動作させるのがそもそも難しく、ネットでも苦悩が見て取れるのですが、それを Windows 上で動作させる方法が載っていたことに驚きました。

脆弱性診断を行わないでサービスを提供している Web アプリケーションはかなりあると思いますが、この資料の公開を契機に、是非脆弱性診断を実施してみてください。

なお、脆弱性診断ツールは全ての脆弱性を検出できる訳ではなく、誤検知も存在することは覚えておいてください。これは、有償の脆弱性診断ツールでも同じことです。

そして、資金に余裕ができたら脆弱性診断サービスを受けてみることをお勧めします。費用は会社や Web アプリケーションの規模により、数十万円から数百万円まで幅がかなりあります。ですが、適正価格で良質なサービスを提供している会社もありますし、診断対象に優先度をつけ診断対象を絞り込むことによって費用を抑えることができます。

脆弱性診断サービスも賢く利用したいですね。

 

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
徳丸 浩

ソフトバンククリエイティブ
売り上げランキング : 4313

Amazonで詳しく見る by AZlink


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA