編集長の試用体験記「IBM Rational AppScan」(3)自動テストと手動テスト | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.11.14(水)

編集長の試用体験記「IBM Rational AppScan」(3)自動テストと手動テスト

「AppScan(アップスキャン)」という脆弱性スキャンツールを知らない本誌読者は恐らく少ないだろう。筆者ももちろん例外ではない。しかし、私がペネトレーションテストに取り組み始めた頃のAppScanといえば、フリーのスキャンツール「Paros」と同程度の信頼性しかなかった

特集 特集
「AppScan(アップスキャン)」という脆弱性スキャンツールを知らない本誌読者は恐らく少ないだろう。筆者ももちろん例外ではない。しかし、私がペネトレーションテストに取り組み始めた頃のAppScanといえば、フリーのスキャンツール「Paros」と同程度の信頼性しかなかった上に、価格が高いツール、もっぱらそんなネガティブなイメージを持っていたことを告白しよう。それから早6年が経過した訳だが、AppScanをペネトレーションテストの現場で見かけることは随分多くなっている実感がある。

一方で、効果的なツールを使って診断を自動化したり、社内で内製化したいというニーズは社会的に高まっている。AppScanは、どの程度この需要に応えることができるだろうか。今回筆者は、日本IBM社の協力を得て、そんな筆者の疑問を検証する機会を得たので、詳しくレポートすることにする。長文ご容赦願いたい。


●レポート出力機能はPCIDSS等にも対応

AppScanは、PDFやMicrosoft Wordなど豊富なレポート機能を持つが、筆者は、デモテストの結果をもとに、重要度「高」の問題だけをピックアップして、レポートを出力してみた。レポートタイトルの変更や、自社のロゴをつけたりすること等ができる。

また、特定の業界標準のレポートや、PCIDSSのようなコンプライアンスレポートの出力もできる。PCIDSSフォーマットでは、PCIDSSの12要件の各項目毎にマッピングを行ったレポートが提出できる。

Microsoft Wordのレポート機能は、AppScanを使って診断を提供するような診断会社向けだと言えるだろう。

●まとめ:手動診断との棲み分けをどう図るか

手動の診断と、自動ツールとをどのように使い分けるかは、診断技術者にとって悩ましいポイントである。取材協力の日本IBM社によれば、AppScanにおいては、手作業のルーチンワークで検出できるような脆弱性ならば、ほぼAppScanでも検出できるため、手動診断の前に行う下診断として利用することを提案しているようだ。ツールを使うことで網羅的に診断することができるので、診断漏れの発生確率を大きく下げることができるため、安心を得ることもできるという。

手動診断と自動診断の比較として、例えばセッションIDの規則性など、人間でないとわからなさそうな脆弱性について日本IBM社に質問してみたが、パターンを見て脆弱なセッションIDを指摘する機能も含まれているそうだ。また、よくセッション周りが弱いと言われるということだが、実はセッション周りは相当検証が行われているそうである。

しかし、通常画面で入力した値が、何画面も遷移した後の管理画面でしか見ることができない場合などの予想が困難なケースは、AppScanは検知することができない。ツールには一長一短があり、要はどう組み合わせるか、ということになるのだろう。

筆者が考えた組み合わせは、先ほども挙げた「診断会社が手動テストの前に下診断として使用する」の他に「開発会社が、自社が持つ技量をカバーし、診断時間を短縮し、一定以上のセキュリティを担保する」などがありそうだ。

カギとなるのは、社内の、AppScanを運用できるスタッフの有無になるだろう。完全にアウトソースしている会社は難しい。しかし、運用をカバーできる体制があるなら、1〜2回程度の脆弱性診断を外注する金額で、AppScanのライセンスを購入することができるから、検討に値すると言えるだろう。(おわり)

●追記:他にも書き加えておきたい、AppScanの機能について

マルウェアテスト:IBM ISSの技術とノウハウを利用し、マルウェアのパターン検索、導かれる不正なサイトのリストを診断してくれる機能がAppScanには実装されている。開発中のアプリではなく、すでに外向けに公開されているWebアプリケーションがマルウェアなどに感染していないかどうかの診断に役に立つだろう

エクステンション:AppScanには、アドオンを作ったり、フリーで利用できる機能がある。アドオンのサイトがあり、フリーでインタフェースを公開している。PythonのスクリプトからAppScanを使える「Pyscan」などが有名



トレーニング:AppScanユーザー企業向けに、座学とハンズオンの1日程度のトレーニングが行われる他、最初の一回目の診断を日本IBM社のエンジニアがつきそいで実施してくれるサービスなどがある

Rational AppScan

(取材協力:日本アイ・ビー・エム株式会社/執筆:上野 宣)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!
(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません!

×