【Scan Security Report-テクマトリックス】Webアプリケーション・セキュリティ・ソリューション〜ツールの特質と、その必要性〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.21(月)

【Scan Security Report-テクマトリックス】Webアプリケーション・セキュリティ・ソリューション〜ツールの特質と、その必要性〜

特集 特集

 高度な技術を要さないハッキング。次々に発見される脆弱性。多くの企業がWebアプリケーション・セキュリティに頭を悩ませている現在、自動監査ツールを擁したセキュリティ・ソリューションに注目が集まっている。
今回は、Web アプリケーション脆弱性監査ソフトウェア「AppScan 」を通じて、Webアプリケーション・セキュリティ・ソリューションのニーズや反響、ツールの限界について、前号に続きテクマトリックス株式会社、斉藤大 氏に話を聞いた。
───────────────────────────────────

>> セキュリティコンサルタントが欲する自動監査ツール

 Web上で相次ぐ大手企業の失態。原因の一端は、専門的な知識を必要とし、複雑な手作業を強いられるWebアプリケーション監査の不備である。この監査工程を自動で行うツールが、同社が販売するWeb アプリケーション脆弱性監査ソフトウェア「AppScan 」。実際にどのようなセクションが、どのような理由で導入に踏み切っているのだろうか。担当の斉藤大 氏に聞いた。

 「まずはWebアプリケーション開発者と、システム管理者です。開発時、運用前には、時間的猶予のなさから、手作業での細かいレベルのセキュリティチェックが困難でした。また、担当者のノウハウに依存してテスト内容、結果がまちまちだったのですが、AppScanを利用することでテストにかかる時間が大幅に縮小し、内容も均一化したため、結果をレビューして、脆弱が確認された箇所を運用前に修正することができるようになります」

 数字を挙げるとわかりやすい。実際、「AppScan不使用の場合、複数人で160時間掛かった作業が、AppScan使用の場合は32時間でテストが終わった」とのこと。ポータルサイト、ショッピングモール、金融系サイト等での導入が相次いでいる。さらにニーズは、セキュリティコンサルタントからも。
 「問題点がアプリケーションごとの機能に依存している場合が多く、製品レベルのスキャナーでは検知が困難。手作業で診断するしか方法がありませんでした。これがAppScan導入により、従来では困難であったクロスサイトスクリプティングやCGIの問題による不正コマンド実行、システム停止、機密ファイルへのアクセス等詳細な調査が可能となったのです」
 また、本来はファイアウォール等を中心に展開していたセキュリティベンダにおいても、今後は「Webアプリケーションセキュリティも含め、パッケージ化されていくのでは」と同氏は予測している。

>> 穴を探すAppScanと、穴を塞ぐAppShield

 AppScanは巡回→分析→攻撃→レポートといった4つのステージを経て、脆弱性をはじき出す。過程それぞれを手動で行うことも可能だが、オートマチックの場合は簡単な入力作業を済ませれば、結果がでるまで作業は発生しない。
 そして最終的に出された結果を見極め、対応を判断することは当然ながら人の手に委ねられる。

 「最終的なレポートでは、攻撃結果ならびに管理職向けの監査結果のサマリー、セキュリティ担当者向けの技術的な詳細レポート、アプリケーション開発者やQA担当者向けのコード修正勧告などが出ます。弱いところと強いところが明らかになりますが、どこからどこまでを対応するのかは人の判断です。さらに一見脆弱性ではあるがサービスやサイトの性質上、そこの値は変動してもよい、といった場合もありますので、その点においても人の見極めが必要です」

 脆弱性の「発見」と「評価」を担当するツールがAppScanであり、結果に対する判断、その後の対応スケジューリング等は当然ながら人の手を必要とする。これはAppScanに限らず、今後IT が進歩しても変らない要素であろう。

 一方「防御」したいという意向に対しては、アプリケーションに対する悪意ある操作を監視、防止し、能動的に防御するツール「AppShield 」も同社は取り扱っている。不正操作を防いでログを残し、いつどこで不正攻撃があったかを管理者に通知。さらには不正侵入者に対し、問題のある操作が検知、記録された旨、警告を促すようになっている。
 もはやWeb アプリケーション・セキュリティを無視して、「私共のサイトは安全」とどうして謳えようか。今後、オンラインネットワークはじめe−ビジネスが進歩するか停滞するかの分岐点に、今まさに差し掛かっているといえよう。

テクマトリックス: http://www.techmatrix.co.jp/
AppScan: http://www.techmatrix.co.jp/sanctum/

│監修/協力 N+I NETWORK Guide編集部
│企画/制作 Scan Security Wire編集部
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×