| エンタープライズ:ニュース | 2003/11/18 09:47:00 更新 |
ノウハウを自動化、ソフテックがWebアプリのセッション管理脆弱性検査ツールを発売
ソフテックは12月1日より、Webアプリケーションにおけるセッション管理の脆弱性を自動的に検査するためのツール「WebProbe」の販売を開始する。
「Webアプリケーションにおけるセッション管理の脆弱性は、サイト運営側だけでなく開発者側にも知られておらず、まだまだ多くのサイトに潜んでいる」(ソフテック代表取締役社長の加藤努氏)。こうした状況の改善を目指し、ソフテックは11月17日、Webアプリケーションにおけるセッション管理の脆弱性を自動的に検査するためのツール「WebProbe」を発表した。
Webアプリケーションは現在、電子商取引サイトをはじめ、幅広いWebサイトで利用されている。だがそこには設計、実装上の配慮の欠如などから脆弱性が残されていることも多い。しばしば聞かれるのがエスケープ処理の欠如に起因するクロスサイトスクリプティングだが、それ以外にもcgiプログラムに根本的な欠陥があったり、不正なSQLクエリの入力を許すSQL Injectionといった脆弱性がある。セッション管理の脆弱性もその1つだ。
Webアプリケーションは何らかの形で、あるアクセスが同一ユーザーからのものであることを確認し、追跡する「セッション管理」を行っている。その際の「識別子」として、Webアプリケーションは何らかのパラメータを利用している。この代表例がcookieだ。だがその取り扱いの実装に問題があり、第三者による盗聴や推測を許すケースが見受けられるという。これを悪用されれば、第三者によって成りすまされ、住所や電話番号、クレジットカード番号といった重要な個人情報を盗まれる恐れがある。
だがクロスサイトスクリプティングなどの脆弱性が「AppScan」をはじめとするスキャンツールを用いてチェック可能であるのに対し、セッション管理の脆弱性は手作業で確認するしかなかった。このように人手とコストがかかるため、納期に追われるWebアプリケーション開発プロジェクトでは、セッション管理に関する十分なチェックが行われないケースもあるようだという。
WebProbeは、手間とノウハウを要していたセッション管理の脆弱性チェックを自動化することによって、容易に、効率的に欠陥の有無を確認できるようにするためのツールだ。もともとの原型は、同社と独立行政法人産業技術総合研究所グリッド研究センターの高木浩光氏とが共同で基本設計を行い、情報処理振興事業協会(IPA)の「2002年度電子政府情報セキュリティ技術開発事業」の1つとして採択されたもの。これを製品化したのがWebProbeということになる。
WebProbeでは、画面の指示に従って検査対象のWebサイトにアクセスし、いくつかWebページを巡回するだけで検査を行えるようになっている。1つのアカウントだけを用いてチェックを行う「コース1」のほか、ログアウト後の処理や別アカウントでの処理も含めて判断を下す「コース2」「コース3」といった検査手順が用意され、より詳細な検査が可能だ。また誤検出(アラートの頻出)を防ぐため、サイトごとの設計、特性に応じて検査項目を調整することも可能となっている。
特徴としては、あくまで正規のアカウントを用い、プロキシサーバとの間でインタラクションを観察するという手法をとっているため、不正アクセス禁止法に抵触しないこと、Webアプリケーションサーバ本体に与える負担が少ないことなどが挙げられる。
ソフテックでは今後、現在は23項目となっている検査項目の追加を図るほか、検査精度の向上にも取り組んでいく計画だ。同社によると「まだまだセッション管理の重要性を意識しながらWebアプリケーションに取り組んでいるところは少ない」といい、啓蒙のための情報提供などにも取り組む意向という。
WebProbeは12月1日より販売される。価格は、1カ月利用ライセンスが9万8000円から。Webアプリケーションの開発者や発注者のほか、監査ビジネスを展開する企業をターゲットに販売していく。同社はまた、コンサルティングも含めた検査サービス「WebサイトOne-Shot検査サービス」も提供され、こちらの価格は1つのWebサイトにつき25万円となる。
関連記事
Security Solutionを振り返る:Webアプリの欠陥調査ツール「Vulnagura」がいよいよ製品化Webアプリの「利便性」は誰のため? 産総研高木氏が指摘するセッション追跡の問題関連リンク
ソフテック[高橋睦美,ITmedia]
