 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
米IBM、Webアプリ脆弱性検査ツール「IBM Rational AppScan」 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
米IBMは11月13日(米国時間)、Webアプリケーション脆弱性検査ツールの新版「IBM Rational AppScan(以下、AppScan)」を発表した。2007年7月にIBMが米Watchfireを買収してから初の新版提供となる。販売開始は11月19日より。 AppScanは、Webアプリの脆弱性を検査するためのテストツール。SQLインジェクションやクロスサイトスクリプティング(XSS)などの疑似攻撃パターンを自動生成し、対象Webサイトに対して試行することで、潜在する脆弱性を発見することができる。 新版では、セキュリティ監査をより確実に行うための新機能として、「Scan Expert」および「State Inducer」が搭載された。 Scan Expertは、専門家のノウハウを提供するもの。Webアプリのプロファイリングやテスト構成などに関するベストプラクティスが組み込まれており、深い知識を持たないユーザーでもテストが可能という。 State Inducerは、Webアプリ内のマルチステップ・プロセスを正確に評価するための機能。例えば、Webサイト上でショッピングカートへの追加や複数フォームの記入などを行う際、複数のWebページにまたがって操作を行わなければならない場合がある。画面遷移時のパラメータの扱い方が原因で発生するWebアプリの脆弱性を正確に検査するためには、画面遷移の仕組み(シーケンス)をツールが正しく判断できなくてはならない。State Inducerを利用すると、AjaxやFlashを含めたWeb 2.0技術が利用されているような複雑なシーケンスも正しく判断し、検査精度を向上させることが可能という。 そのほか、ユーザーが安全なアプリケーションを構築できるようにする教材「Webベース・トレーニング・アドバイザリ(WBTA)」が組み込まれた。 AppScanのほか、VoIPシステム、インターネットテレフォニー、およびインスタントメッセージングに対応する「IBM Rational Performance Tester」や「IBM Rational Manual Tester」などの製品をもつIBM。AppScanをRationalブランドに統合することで、アプリケーションセキュリティ分野に対して、より包括的にソリューション提供していく意向をみせた。 ■ URL IBM http://www.ibm.com/ プレスリリース(日本語抄訳) http://www-06.ibm.com/jp/press/20071116001.html ■ 関連記事 ・ 米IBM、セキュリティソフトベンダWatchfireを買収-Rationalブランドへ統合(2007/06/08)
( 川島 弘之 )
|
