z プレスリリース 2016 年 10 月 31 日 独立行政法人情報処理推進機構 安全なウェブサイト構築のための脆弱性体験学習ツール“AppGoat” (アップゴート)最新版公開 ~新たに集合学習機能の追加と学習対象とする脆弱性 3 種を加え、合計 12 種に~ IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、2011 年 1 月 から公開している脆弱性体験学習ツール“AppGoat” (アップゴート)を V2.0 から V3.0 にバージョン アップし、最新版として本日公開します。 最新版では、組織での集合学習を想定した管理者(教育担当者)向け機能などを新たに追加していま す。 URL:https://www.ipa.go.jp/security/vuln/appgoat/ IPA ではかねてより、ウェブサイトに作りこまれてしまう脆弱性の多くは、開発者の脆弱性への知識 の不十分さが原因であると考えています。ウェブサイトは今や事業遂行における不可欠な存在で、脆弱 性を狙った攻撃による影響は、組織への売上貢献やコスト削減といった役割を損ないかねません。また、 脆弱性を悪用された結果、個人情報の漏えいや閲覧者へのウイルス感染など二次被害につながる可能性 も否定できません。 IPA は 2011 年 1 月から、ウェブサイトにおける脆弱性の発見方法、およびその対策について個人用 学習を想定した、演習形式のツール“AppGoat”を公開しています。 本日公開の最新版“AppGoat V3.0”では、学習対象の脆弱性を従来の 9 種に 3 種加え、合計 12 種 (*1) としました。これは 2015 年 3 月に公開した「安全なウェブサイトの作り方改訂第 7 版」に準 拠したものです。また、組織的な脆弱性対策の教育が必要であると考え、円滑な集合学習を可能にす る管理者(教育担当者)機能を新たに追加しました。詳細は下記をご覧ください。 ◆ 追加機能 (1)管理者向け ① 集合学習モードの追加 ・受講者はブラウザー経由で“AppGoat”の利用が可能(*2)(インストールは管理者のみ) 。 ② 受講者管理機能の追加 ・管理者による受講者毎の学習の進捗確認や習熟度合いを把握可能。 ③ カスタマイズ機能の追加 ・フィルター機能により、受講者のレベルや講義目的に応じた脆弱性の選択・設定が可能。 ・管理者が任意で“AppGoat”内の説明文等コンテンツ表記を変更可能。 (2)学習者向け ① 悪用の可能性が高い脆弱性の演習優先度を高めるため「基礎編」(*3)として構成し、それ以 (*4) 外を「応用編」 とした。 (*1) ①クロスサイト・スクリプティング ②SQL インジェクション ③クロスサイト・リクエスト・フォージェリ ④ディレクトリ・ト ラバーサル ⑤OS コマンド・インジェクション ⑥セッション管理の不備 ⑦認証制御や認可制御の欠落 ⑧HTTP ヘッダ・インジ ェクション ⑨その他(エラーメッセージからの情報漏えい)以上 9 種に加え、⑩バッファーオーバーフロー ⑪クリックジャッ キング ⑫メールヘッダー・インジェクションの 3 種を追加。 (*2) 旧版では学習者の端末全てにインストールが必要であった。 (*3) 脚注(*1)の①から⑥まで (*4) 脚注(*1)の⑦から⑫まで 1 ② 全 12 種の脆弱性の演習問題を難易度に応じ Level 1(脆弱性の発見手法の学習)から Level3 (脆弱性コードの発見・修正方法)に分類。 ③ 全 12 種の脆弱性毎に各 5 問の習熟度テストを追加。 “AppGoat”V3.0 の活用により、ウェブサイト開発者の脆弱性に対する技術的対策力の向上、および ウェブサイト管理者の脆弱性への理解向上により、脆弱性低減に寄与することを期待しています。 ■本件に関するお問い合わせ先 IPA 技術本部 セキュリティセンター Tel: 03-5978-7527 亀山/土屋 Fax: 03-5978-7518 E-mail: [email protected] ■報道関係からのお問い合わせ先 IPA 戦略企画部 広報グループ Tel: 03-5978-7503 山北/白石 Fax: 03-5978-7510 2 E-mail: [email protected]
© Copyright 2024 ExpyDoc
