ニュース

MIT、Webサイトのセキュリティを自動診断するツールを開発

MITの研究者が開発した「Resin」は、Webアプリケーションのセキュリティホールを自動的にふさいでくれるという。

　米マサチューセッツ工科大学（MIT）の研究者が、Webサイト攻撃に利用されるセキュリティホールを自動的にふさいでくれる新ツールを開発したとして、10月11日からモンタナ州で開かれるACMシンポジウムで発表する。

　MITのWebサイトに8日付で掲載された情報によると、この新ツール「Resin」はMITのコンピュータ科学・人工知能研究所が開発したもので、自動的にWebアプリケーションのセキュリティ診断を実行でき、予期しない状況にも対処できるという。

　Webアプリケーションのセキュリティ診断は通常、各機能ごとにコードのチェックが行われるほか、ソーシャルネットワーキングサービス（SNS）などではユーザーが投稿したコンテンツもチェックしてセキュリティ問題を見つけ出している。

　しかしこうしたチェックをかけても問題が残ってしまうことがあり、研究チームが調べたWebアプリケーションでは、1400カ所以上でデータのチェックをかけた後も、約60件のセキュリティホールが残っていたという。

　そこで研究チームは、特定機能のコードのまとまりではなく、特定データのまとまりに着目してセキュリティ診断を行う方法を考案。Webプログラミング言語のPythonとPHPで書かれた12種類のアプリケーションでResinを使えるようにして実験したところ、既知のセキュリティホールを突いた攻撃だけでなく、研究チームが独自に開発した攻撃もかわすことができたとしている。

　商用化にはまだ幾つか問題もあるが、Resinはプログラマーにとって利用しやすいものになるはずだと紹介している。

過去のセキュリティニュース一覧はこちら

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.