Enterprise Watch
最新ニュース

ウォッチファイア、使いやすさと精度が向上したWebアプリ脆弱性検査ツール新版

JavaScriptやFlash、Ajaxの解析や二要素認証にも対応

ビジネスデベロップメント部長の雨宮吉秀氏

ウィザード形式でテストを進めていける。テスト対象URLを入力する画面
 ウォッチファイア・ジャパン株式会社(ウォッチファイア)は3月15日、Webアプリケーション脆弱性検査ツールの新版「AppScan 7」を発表した。3月30日から出荷を開始する。

 AppScanは、Webアプリケーションの脆弱性検査を自動化するテストツール。1)テスト対象Webサイトの情報を収集し、2)テストリクエストを自動生成、3)テストを実行し、4)結果を表示・レポートする、といったテストの一連の流れをウィザード形式で進めていけるのが特徴。

 情報収集には、ツールに組み込まれたWebブラウザを利用する。テスト対象のWebサイトに直接ログインして、ページを巡回することで、ページ内のパラメータを取得。その値をSQLインジェクションやクロスサイトスクリプティングを引き起こすような不正な文字列と置き換えることで、テストリクエストを自動作成する。あとはテスト実行ボタンを押すだけなので、「セキュリティ専門家でなくても容易に検査が行える」(ビジネスデベロップメント部長の雨宮吉秀氏)という。

 なお、当日行われたデモでは20URLほどのWebサイトで実際にテストを実行。1万件ほどのテストリクエストが生成された。テスト時間はWebサイトの規模により大きく異なるが、だいたい数時間程度で完了することが多いとのこと。

 脆弱性の有無は、Webサーバーに通常リクエストを送信した場合と、テストリクエストを送信した場合のレスポンスの差分を比較することで判断される。つまり両者のレスポンスに差があれば、不正な文字列を与えたことでWebアプリケーションが何らかの影響を受けたことになるので、脆弱性が存在する可能性があるといえるわけだ。

 脆弱性があると判断された問題は、重要度によって色分けされて表示され、それぞれの問題に対するアドバイザリや修正方法が提示される。雨宮氏は、「脆弱性が発見された場合は、必ずその後に修正作業がついてまわる。AppScanは、修正まで支援するというコンセプトで開発された製品だ」とし、単なるテストツールではないことをアピールした。


URLを指定すると、Webブラウザが起動。テスト対象Webサイトにログイン、画面の遷移を行うことで情報収集を行う テスト内容を詳細に設定できる テスト結果-URLごとに脆弱性の有無を判断できるツリー構造のインターフェイス

脆弱性の問題箇所を黄色く強調
 今回の新版では、GUIを一新。各URLごとに、どのような問題がどれだけ発見されたのかが一目瞭然なツリー構造のインターフェイスが採用された。

 またテスト精度向上のため、セッション管理機能も強化された。「旧版では、テスト実行中にWebサイトのセッションタイムアウトが発生し、テストリクエストに対するレスポンスが、すべてセッション切れのエラー画面となってしまうことがあった。このため、セッション管理の厳しいWebアプリケーションは検査がしにくかったのだが、新版では、テストを行うまえにセッションを正しく認識させることで、セッション切れを自動で判断、再ログインしてくれるようになった」(雨宮氏)という。

 脆弱性の詳細を表示する画面では、問題があると判断されたソースの個所を黄色く塗りつぶして強調する「ハイライト機能」が追加された。修正方法を表示する画面と見比べることで、問題点の特定と対策方法を瞬時に把握することが可能だ。

 そのほか、テスト可能な範囲も拡張された。新版では新たに、JavascriptやFlash、Ajaxの解析、ワンタイムパスワードなどによる二要素認証にも対応。「検査ツールでは自動化が困難だった複雑な構成のWebサイトでも検査が可能になった」(雨宮氏)という。

 価格は、1ドメイン限定で検査可能な「シングルサーバー版ライセンス」が95万円(税別)から。ラインアップとしてはそのほか、ユーザー企業内のドメインであれば数に制限のない「QA版ライセンス」や、主に診断サービスプロバイダが利用する完全にドメインフリーの「Audit版ライセンス」がある。


米Watchfireの社長兼CEOのピーター・マッケイ氏
 なお発表会では、米Watchfireの社長兼CEOのピーター・マッケイ氏からワールドワイドでの活動も紹介された。同氏はまず、世界で行われる攻撃の75%がWebアプリケーションを標的としたものであることに言及。その上で「重要なことは、開発を行う場合は、こうした脆弱性アセスメントをアプリケーション開発プロセスとして恒久的に組み込むこと。また、世界中でそうした標準化が進むことが肝心」と説明した。

 Watchfireでは、そのための取り組みとして「Watchfire's Fanatical Success Program」を1年ほど前から開始しているという。AppScanを利用する主なユーザーは、開発者、品質担当者、診断サービスプロバイダの3者である。同プログラムは、3者それぞれの要望にあったソフトウェア、トレーニング、サービスをまとめて提供することで、組織レベルの支援を行うとするものだ。

 その一環として、マッケイ氏はコンピュータベースのトレーニング「AppScan University」を紹介。具体的には、「AppScanの使い方から一般的なセキュアコーディング法まで、30時間程度の内容を15分単位に細分化し、プライオリティ付けして提供するもの」と説明した。米国ではすでに100社程度が利用しており、現在国内での提供を目指して、日本語化を進めている最中とのこと。



URL
  ウォッチファイア・ジャパン株式会社
  http://www.watchfire.com/jp/
  ニュースリリース
  http://www.watchfire.com/jp/news/releases/03-15-07.asp


( 川島 弘之 )
2007/03/15 18:09

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.