MIT、Webサイトのセキュリティを自動診断するツールを開発
MITの研究者が開発した「Resin」は、Webアプリケーションのセキュリティホールを自動的にふさいでくれるという。
米マサチューセッツ工科大学(MIT)の研究者が、Webサイト攻撃に利用されるセキュリティホールを自動的にふさいでくれる新ツールを開発したとして、10月11日からモンタナ州で開かれるACMシンポジウムで発表する。
MITのWebサイトに8日付で掲載された情報によると、この新ツール「Resin」はMITのコンピュータ科学・人工知能研究所が開発したもので、自動的にWebアプリケーションのセキュリティ診断を実行でき、予期しない状況にも対処できるという。
Webアプリケーションのセキュリティ診断は通常、各機能ごとにコードのチェックが行われるほか、ソーシャルネットワーキングサービス(SNS)などではユーザーが投稿したコンテンツもチェックしてセキュリティ問題を見つけ出している。
しかしこうしたチェックをかけても問題が残ってしまうことがあり、研究チームが調べたWebアプリケーションでは、1400カ所以上でデータのチェックをかけた後も、約60件のセキュリティホールが残っていたという。
そこで研究チームは、特定機能のコードのまとまりではなく、特定データのまとまりに着目してセキュリティ診断を行う方法を考案。Webプログラミング言語のPythonとPHPで書かれた12種類のアプリケーションでResinを使えるようにして実験したところ、既知のセキュリティホールを突いた攻撃だけでなく、研究チームが独自に開発した攻撃もかわすことができたとしている。
商用化にはまだ幾つか問題もあるが、Resinはプログラマーにとって利用しやすいものになるはずだと紹介している。
関連記事
- 「最も危険なプログラミングエラー」25種類のリスト発表
サイバースパイやサイバー犯罪につながる「危険なプログラミングエラー」の上位25種類をSANSが発表した。 - IPA、脆弱性対策情報のデータベースサービスを機能強化
IPAは、脆弱性対策情報データベース「JVN iPedia」に検索の新機能などを追加した。 - IPA、脆弱性情報の収集ツール「MyJVN」を公開
IPAは、約5400件の脆弱性データべースから自社システムに関連する情報を検索できるツール「MyJVN」を公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.