【Scan Security Report-テクマトリックス】Webアプリケーション・セキュリティ・ソリューション〜ツールの特質と、その必要性〜

　高度な技術を要さないハッキング。次々に発見される脆弱性。多くの企業がWebアプリケーション・セキュリティに頭を悩ませている現在、自動監査ツールを擁したセキュリティ・ソリューションに注目が集まっている。
今回は、Web アプリケーション脆弱性監査ソフトウェア

特集特集

2002年9月20日（金） 12時00分

　高度な技術を要さないハッキング。次々に発見される脆弱性。多くの企業がWebアプリケーション・セキュリティに頭を悩ませている現在、自動監査ツールを擁したセキュリティ・ソリューションに注目が集まっている。
今回は、Web アプリケーション脆弱性監査ソフトウェア「AppScan 」を通じて、Webアプリケーション・セキュリティ・ソリューションのニーズや反響、ツールの限界について、前号に続きテクマトリックス株式会社、斉藤大氏に話を聞いた。
───────────────────────────────────

>> セキュリティコンサルタントが欲する自動監査ツール

　Web上で相次ぐ大手企業の失態。原因の一端は、専門的な知識を必要とし、複雑な手作業を強いられるWebアプリケーション監査の不備である。この監査工程を自動で行うツールが、同社が販売するWeb アプリケーション脆弱性監査ソフトウェア「AppScan 」。実際にどのようなセクションが、どのような理由で導入に踏み切っているのだろうか。担当の斉藤大氏に聞いた。

　「まずはWebアプリケーション開発者と、システム管理者です。開発時、運用前には、時間的猶予のなさから、手作業での細かいレベルのセキュリティチェックが困難でした。また、担当者のノウハウに依存してテスト内容、結果がまちまちだったのですが、AppScanを利用することでテストにかかる時間が大幅に縮小し、内容も均一化したため、結果をレビューして、脆弱が確認された箇所を運用前に修正することができるようになります」

　数字を挙げるとわかりやすい。実際、「AppScan不使用の場合、複数人で160時間掛かった作業が、AppScan使用の場合は32時間でテストが終わった」とのこと。ポータルサイト、ショッピングモール、金融系サイト等での導入が相次いでいる。さらにニーズは、セキュリティコンサルタントからも。
　「問題点がアプリケーションごとの機能に依存している場合が多く、製品レベルのスキャナーでは検知が困難。手作業で診断するしか方法がありませんでした。これがAppScan導入により、従来では困難であったクロスサイトスクリプティングやCGIの問題による不正コマンド実行、システム停止、機密ファイルへのアクセス等詳細な調査が可能となったのです」
　また、本来はファイアウォール等を中心に展開していたセキュリティベンダにおいても、今後は「Webアプリケーションセキュリティも含め、パッケージ化されていくのでは」と同氏は予測している。

>> 穴を探すAppScanと、穴を塞ぐAppShield

　AppScanは巡回→分析→攻撃→レポートといった４つのステージを経て、脆弱性をはじき出す。過程それぞれを手動で行うことも可能だが、オートマチックの場合は簡単な入力作業を済ませれば、結果がでるまで作業は発生しない。
　そして最終的に出された結果を見極め、対応を判断することは当然ながら人の手に委ねられる。

　「最終的なレポートでは、攻撃結果ならびに管理職向けの監査結果のサマリー、セキュリティ担当者向けの技術的な詳細レポート、アプリケーション開発者やQA担当者向けのコード修正勧告などが出ます。弱いところと強いところが明らかになりますが、どこからどこまでを対応するのかは人の判断です。さらに一見脆弱性ではあるがサービスやサイトの性質上、そこの値は変動してもよい、といった場合もありますので、その点においても人の見極めが必要です」

　脆弱性の「発見」と「評価」を担当するツールがAppScanであり、結果に対する判断、その後の対応スケジューリング等は当然ながら人の手を必要とする。これはAppScanに限らず、今後IT が進歩しても変らない要素であろう。

　一方「防御」したいという意向に対しては、アプリケーションに対する悪意ある操作を監視、防止し、能動的に防御するツール「AppShield 」も同社は取り扱っている。不正操作を防いでログを残し、いつどこで不正攻撃があったかを管理者に通知。さらには不正侵入者に対し、問題のある操作が検知、記録された旨、警告を促すようになっている。
　もはやWeb アプリケーション・セキュリティを無視して、「私共のサイトは安全」とどうして謳えようか。今後、オンラインネットワークはじめe−ビジネスが進歩するか停滞するかの分岐点に、今まさに差し掛かっているといえよう。

テクマトリックス： http://www.techmatrix.co.jp/
AppScan： http://www.techmatrix.co.jp/sanctum/

│監修/協力 N+I NETWORK Guide編集部
│企画/制作 Scan Security Wire編集部

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

【Scan Security Report-テクマトリックス】Webアプリケーション・セキュリティ・ソリューション〜ツールの特質と、その必要性〜

Scan PREMIUM 会員限定記事

ガートナークラウドクッキング教室～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証 大英図書館ランサムウェア ～ 過ちが語る普遍的な物語

AI アプリ標的 ゼロクリックワーム開発／北 韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理

Windows DNS の脆弱性情報が公開

バッファロー製無線 LAN ルータに複数の脆弱性

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に

インフォマート 公式 Facebook ページに不正ログイン

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ～ 株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍 時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

プルーフポイント、マルウェア配布する YouTube チャンネル特定

IT部門か全員かそれとも政府か ～ サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

セキュリティ診断会社と開発会社が業務提携 ～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位

警察庁、サイバー事案通報の統一窓口を設置

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

インフォマート公式 Facebook ページに不正ログイン

転職先で営業活動に活用、プルデンシャル生命保険元社員顧客情報持ち出し

調査・レポート・白書・ガイドライン記事一覧へ

セキュリティ対策は株価を上げるのか～株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

IT部門か全員かそれとも政府か～サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス記事一覧へ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向記事一覧へ

セキュリティ診断会社と開発会社が業務提携～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ国内 1 位

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ