プレスリリース - IPA 独立行政法人 情報処理推進機構

z
プレスリリース
2016 年 9 月 28 日
独立行政法人情報処理推進機構
IPA テクニカルウォッチ「ウェブサイトにおける脆弱性検査手法」の公開
~無償の脆弱性検査ツールの活用で、セキュリティレベルの向上とセキュリティ予算の確保を~
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、2013 年に公
開した“IPA テクニカルウォッチ”
「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、
「ウェブ
サイトにおける脆弱性検査手法(ウェブアプリケーション検査編)
」として本日公開しました。
本書では、5 種の無償ツールによる検出方法等の解説や、無償ツールの活用例を 3 点提案しています。
URL:https://www.ipa.go.jp/security/technicalwatch/20160928-2.html
ウェブサイトの脆弱性が原因で発生した、情報漏えいや悪意あるサイトへの誘導などの被害は組織の
業種、規模を問わず後を絶ちません。一般的にウェブサイトの脆弱性の検出と対策は“継続的 な実施”
と“開発時の集中的な実施”に大別されます。
IPA では、こうした相次ぐインシデントは、後者の“開発時の集中的な実施”が不十分であることが
原因と考えています。
一方、警察庁発表の報告書(*1)によれば、情報セキュリティ対策への投資について「費用対効果が見
えない」58.4%、
「コストがかかりすぎる」47.4%とあり、組織にとって脆弱性検出ツールやサービスの
積極利用は、予算等の制約からハードルが高いと考えられます。
そこで IPA は、本書で 5 種(*2)の無償ツールによる検出の方法と結果等についての解説や以下の様
な、無償ツール活用例を 3 点提案しています。
活用例1:開発時点で作り込まれてしまった可能性のある脆弱性の検出
活用例2:攻撃者に悪用される可能性のあるツールを利用した脆弱性の検出
活用例3:脆弱性検出による、次期開発に向けたセキュリティ予算の確保
特に、活用例3では脆弱性の検出に留まらず、検出された脆弱性が、次期開発に向けたセキュリティ
予算確保のための経営層向け説得材料になりうるとして、無償ツールの活用を推奨しています。
なお、本書では、脆弱性検査に不慣れな初級者に“OWASP ZAP”の使用を推奨しています。
検査者レベル
環境設定難易度
検査の効率性
検知精度(*3)
更新
初級者以上
非常に容易
非常に良い
検知可能
SQLMAP
新規追加
中級者以上
容易
手間がかかる
検知可能
Fiddler
新規追加
上級者
非常に容易
手間がかかる
対象外
Paros
更新
上級者
容易
手間がかかる
対象外
ratproxy
更新
中級者以上
手間がかかる
良い
誤検知あり
ツール名
OWASP ZAP
図1:各ツール特徴
(*1)
不正アクセス行為対策等の実態調査 調査報告書
https://www.npa.go.jp/cyber/research/h27/h27countermeasures.pdf
(*2)
2013 年公開の「ウェブサイトにおける脆弱性検査手法の紹介」で対象としたのは、OWASP ZAP、Paros、
ratproxy の 3 種。
(*3)
IPA が公開しているウェブアプリケーションの AppGoat(アップゴート)に含まれる脆弱性(クロスサイトスクリ
プティング、SQL インジェクション)を検知したかどうかで判断した。
1
本書が経営者のセキュリティの意識向上と、ひいては組織における脆弱性対策促進の一助になるこ
とを期待しています。
■本件に関するお問い合わせ先
IPA
技術本部
セキュリティセンター 工藤(伊)/亀山
Tel: 03-5978-7527
Fax: 03-5978-7518
E-mail: [email protected]
■報道関係からのお問い合わせ先
IPA
戦略企画部
広報グループ
Tel: 03-5978-7503
山北/白石
Fax: 03-5978-7510
2
E-mail: [email protected]