「Webアプリの開発サイクルにセキュリティを」、ウォッチファイアが検査ツール新版

ウォッチファイア・ジャパンは、Webアプリケーション脆弱性検査ソフトウェアの新バージョン、「AppScan 7」を発表した。

[高橋睦美，ITmedia]

　ウォッチファイア・ジャパンは3月15日、Webアプリケーションの脆弱性検査ソフトウェア「AppScan」の新バージョン、「AppScan 7」を発表した。

　AppScanは、Webサイトを巡回し、SQLインジェクションやクロスサイトスクリプティング、ディレクトリトラバーサルをはじめとする、Webアプリケーションに特有の脆弱性を検出するツールだ。検査結果は、おおまかな対処方法とともにレポートとしてまとめられる。

　「ネットワークセキュリティ対策は行った、ファイアウォールもある。だからアプリケーションセキュリティは大丈夫だろうと考える顧客は多い。しかし実際はそうとは限らない」（米Watchfireの社長兼CEO、ピーター・マッケイ氏）。ある調査によれば、攻撃の75％はアプリケーションを狙ってくるという。

　こうした攻撃が狙う脆弱性は、手作業による検査で見付けることが可能だ。ただこの場合は脆弱性を丹念にチェックできる反面、手間やコストが掛かる。AppScanはその作業を自動化することで、より少ない労力で正確な検査結果を得られるようにし、Webアプリケーションのセキュリティを「見える化」するという。

　なお同社はかつて、Webアプリケーションファイアウォール「AppShield」も展開していたが、F5 Networksに売却している。その理由をマッケイ氏は「結局は、ファイアウォールによる防御はリアクティブなもの。われわれはプロアクティブな防御にフォーカスしていく」と述べた。

　AppScanの新バージョンでは、インタフェースを一新し、HTMLコードのうち脆弱性が存在する箇所をハイライト表示したり、脆弱性別の一覧表示を行えるようにし、開発者が修正作業を迅速に行えるよう支援する。また、検査中にセッションが切れた場合に再ログインを行える機能を追加し、作業の自動化部分を増やした。

AppScan 7のインタフェース

　スキャン項目も強化されている。JavaScriptやFlash中のURLを検査できるほか、AjaxやSOAP 1.2に対応し、Webサービスについても脆弱性をチェックできるようにした。さらに、管理者権限でログインしたときと一般ユーザーとしてログインしたときの差分を比較し、リスクを検出する権限拡張テスト機能も追加されている。

　とはいえ、Webアプリケーションの脆弱性の最も根本的な問題は教育だとマッケイ氏。「テクノロジだけですべてが解決できるわけではない。業界全体の認識を高めていく必要がある」（同氏）。特に日本では、アプリケーション開発の最終段階に当たるQA（品質検査）のステップで利用されるシーンが多いというが、開発ステップの初めの段階からセキュリティを組み入れていくことが重要だとした。

　「問題が発生してから修正するのに比べると、開発ライフサイクルの早い段階で問題を修正しておく方が、ずっとコストは安くてすむ」（同氏）。その手法を伝えることを目的に、米国ではオンライン教育サービス「AppScan University」を展開しており、現在日本語化を進めている段階という。

　AppScan 7の価格は、シングルサーバ版は95万円から。ペネトレーションテストを実施している企業のほか、Webアプリケーションの開発者、運用する企業の情報セキュリティマネジャー向けに、3月30日より出荷を開始する。