編集長の試用体験記「IBM Rational AppScan」(3)自動テストと手動テスト | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.19(日)

編集長の試用体験記「IBM Rational AppScan」(3)自動テストと手動テスト

特集 特集

「AppScan(アップスキャン)」という脆弱性スキャンツールを知らない本誌読者は恐らく少ないだろう。筆者ももちろん例外ではない。しかし、私がペネトレーションテストに取り組み始めた頃のAppScanといえば、フリーのスキャンツール「Paros」と同程度の信頼性しかなかった上に、価格が高いツール、もっぱらそんなネガティブなイメージを持っていたことを告白しよう。それから早6年が経過した訳だが、AppScanをペネトレーションテストの現場で見かけることは随分多くなっている実感がある。

一方で、効果的なツールを使って診断を自動化したり、社内で内製化したいというニーズは社会的に高まっている。AppScanは、どの程度この需要に応えることができるだろうか。今回筆者は、日本IBM社の協力を得て、そんな筆者の疑問を検証する機会を得たので、詳しくレポートすることにする。長文ご容赦願いたい。


●レポート出力機能はPCIDSS等にも対応

AppScanは、PDFやMicrosoft Wordなど豊富なレポート機能を持つが、筆者は、デモテストの結果をもとに、重要度「高」の問題だけをピックアップして、レポートを出力してみた。レポートタイトルの変更や、自社のロゴをつけたりすること等ができる。

また、特定の業界標準のレポートや、PCIDSSのようなコンプライアンスレポートの出力もできる。PCIDSSフォーマットでは、PCIDSSの12要件の各項目毎にマッピングを行ったレポートが提出できる。

Microsoft Wordのレポート機能は、AppScanを使って診断を提供するような診断会社向けだと言えるだろう。

●まとめ:手動診断との棲み分けをどう図るか

手動の診断と、自動ツールとをどのように使い分けるかは、診断技術者にとって悩ましいポイントである。取材協力の日本IBM社によれば、AppScanにおいては、手作業のルーチンワークで検出できるような脆弱性ならば、ほぼAppScanでも検出できるため、手動診断の前に行う下診断として利用することを提案しているようだ。ツールを使うことで網羅的に診断することができるので、診断漏れの発生確率を大きく下げることができるため、安心を得ることもできるという。

手動診断と自動診断の比較として、例えばセッションIDの規則性など、人間でないとわからなさそうな脆弱性について日本IBM社に質問してみたが、パターンを見て脆弱なセッションIDを指摘する機能も含まれているそうだ。また、よくセッション周りが弱いと言われるということだが、実はセッション周りは相当検証が行われているそうである。

しかし、通常画面で入力した値が、何画面も遷移した後の管理画面でしか見ることができない場合などの予想が困難なケースは、AppScanは検知することができない。ツールには一長一短があり、要はどう組み合わせるか、ということになるのだろう。

筆者が考えた組み合わせは、先ほども挙げた「診断会社が手動テストの前に下診断として使用する」の他に「開発会社が、自社が持つ技量をカバーし、診断時間を短縮し、一定以上のセキュリティを担保する」などがありそうだ。

カギとなるのは、社内の、AppScanを運用できるスタッフの有無になるだろう。完全にアウトソースしている会社は難しい。しかし、運用をカバーできる体制があるなら、1〜2回程度の脆弱性診断を外注する金額で、AppScanのライセンスを購入することができるから、検討に値すると言えるだろう。(おわり)

●追記:他にも書き加えておきたい、AppScanの機能について

マルウェアテスト:IBM ISSの技術とノウハウを利用し、マルウェアのパターン検索、導かれる不正なサイトのリストを診断してくれる機能がAppScanには実装されている。開発中のアプリではなく、すでに外向けに公開されているWebアプリケーションがマルウェアなどに感染していないかどうかの診断に役に立つだろう

エクステンション:AppScanには、アドオンを作ったり、フリーで利用できる機能がある。アドオンのサイトがあり、フリーでインタフェースを公開している。PythonのスクリプトからAppScanを使える「Pyscan」などが有名



トレーニング:AppScanユーザー企業向けに、座学とハンズオンの1日程度のトレーニングが行われる他、最初の一回目の診断を日本IBM社のエンジニアがつきそいで実施してくれるサービスなどがある

Rational AppScan

(取材協力:日本アイ・ビー・エム株式会社/執筆:上野 宣)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  6. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  9. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×