開発時点でWebアプリの脆弱性に対処、NTTデータが入力値チェックライブラリ

NTTデータは、SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を作りこまないようにするJavaライブラリ「SecureBlocker」の提供を開始した。

[ITmedia]

　NTTデータは、SQLインジェクションやコマンドインジェクション、クロスサイトスクリプティングといったWebアプリケーションの脆弱性を、開発時にあらかじめ「つぶして」おくためのライブラリ「SecureBlocker」の提供を開始した。

　SecureBlockerは、Javaライブラリの形で提供されるWebアプリケーションセキュリティ対策ツールだ。SecureBlockerの提供するAPIにパラメータの名前と値を渡すだけで、ユーザーの入力値をチェックし、ロジックに応じてサニタイジングやエラー画面の生成などを行える。

　Webアプリケーションの脆弱性が抱える危険性はこれまでもたびたび指摘されてきたが、同時に、対策の難しさも浮上していた。

　たとえばすでに稼動済みのWebアプリケーションの場合、システムの挙動に影響を与えることなく対策を施すのは困難だ。一からセキュアに開発しようとしても、納期や予算の面から手が回りきらないケースは多いという。また、対策を実施するにしても、発注者と受注者間、あるいは開発に携わるプログラマ間で求めるセキュリティ品質に「ずれ」が生じ、結果として脆弱性が残される可能性もある。

　SecureBlockerはこうした問題に対処するためのツールだ。ServletやJSPに組み込むことで、プログラムのスキルに関係なく、Webサイト全体で均一なセキュリティ対策を実現できる。システムに対する変更が最小限ですむこと、脆弱性対策に必要な工数に加えチェック工数も削減できるため、開発コストの低減が可能なことが特徴だ。

　また、検査項目の設定ファイルによって、パスワードについては特殊文字を許可するが、それ以外の項目では禁止するといった具合に、パラメータごとに柔軟な設定を行うことができる。

　すでに、人材開発コンサルティング会社のウィルソン・ラーニング　ワールドワイドが、大規模採用支援システム「eリクルーティングシステム　e2R」でSecureBlockerを採用したという。

　SecureBlockerの価格は、1ドメイン当たり300万円、次年度以降の継続利用料は年額60万円。NTTデータでは開発ベンダーやユーザー企業、地方公共団体など幅広い層に販売を行い、2007年度末までに1億円の売り上げを目指すという。また、Java以外に.NETなどほかの言語についてもサポートしていく計画だ。