緊急点検!Webアプリ・セキュリティ(後編)
脆弱性テストの効率を上げる
最新の攻撃手法に適応する
単体テストや総合テストで脆弱性を洗い出すことが,カットオーバー前の最後の砦となる。「脆弱性テストは網羅率を上げることが難しい」(ラックセキュリティアセスメントサービス部コンサルタント山崎圭吾氏)ので,ツールなどを使って効率化したい。
ブラック・ボックス・テストに使えるツール(表1)は,ユーザーやSIベンダーに広く利用されるようになっている。 ページ遷移に絡む脆弱性を確実に検出できるツールはまだ少ないが,無償の支援ツールを使った手作業でのテストと組み合わせれば,網羅率を高める上で一定の効果は見込める。 ウィルソン・ラーニングワールドワイドは検収時に「AppScan」でのチェックを義務付けている。
表1 脆弱性テストを効率化するツール
セッション周りのテストに特化した「WebProbe」を除くと,ログインしてページ遷移するタイプのWebアプリケーションの検査は苦手なものが多い。このため,手作業に
よるテストを支援するツールも欠かせない【クリックで拡大】
上記の記事「緊急点検! Webアプリ・セキュリティ――多層の防御ラインでシステムを守る」は,『日経システム構築』2005年12月号の特集から掲載したものです。
『日経システム構築』はセキュリティはもちろんのこと,ITエンジニアが現場で直面するさまざまな問題を解決するために必要な情報を,豊富なユーザー事例をもとに,やさしく掘り下げて提供しています。最新号の主な記事内容やその他のコンテンツについては,こちらのサイトを,年間ご購読のお申し込みはこちらのサイトをご参照ください。
このほか,不正アクセスや情報漏洩の防止に関して徹底解説した別冊書籍「Webアプリケーションのセキュリティ完全対策」も全国の書店で好評発売中です。ぜひお求めください。
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
