Webアプリケーション脆弱性テストツール【AppScan】テクマトリックス |
|
 掲載日:2009/07/03 |
|
|
アンケートから見えたWebアプリ脆弱性対策の現状
|
Webアプリケーションを狙った攻撃が急増する中、にわかに注目を集めている“脆弱性対策”。脆弱性検査を行うツールの導入を検討している企業も多いが、「使いこなせるのか?」「効果が分からない…」といった印象もまだまだ強い。そこで今回は、Webアプリケーション脆弱性テストツールIBM Rational AppScan(以下、AppScan)の利用者から100ユーザに実施したアンケートの結果を基に、その実態を紹介していこう。 |
|
|
網羅性 |
1番のポイントは網羅性。6000種類のテストで“見落し”をなくす |
|
右のグラフからも分かるとおり、AppScanが高く評価されているのは「脆弱性の網羅性」。「手動では限界のある脆弱性テストを自動化できる」というだけではなく、多くのテストが網羅されていることが欠かせないポイントなのだ。 |
|
 |
操作性 |
専門知識をサポートする「分かりやすさ」はハズせない |
ツールの「分かりやすさ」も多くのユーザが評価しており、操作性だけでなくテスト結果やレポート内容も重要視されている。
AppScanはウィザードで簡単にテスト項目を設定できるなど「操作が分かりやすい」と好評。更に、結果レビュー画面では検知された脆弱性が重要度別にレベル表示されるため、「どこが問題なのかを把握しやすい」という評価も…。Java、.NET、PHPによる修正方法が合わせて提示され、確実な対策をサポート。スキャン結果から各種レポートも生成でき、修正後の回帰テスト状況の分析なども可能だ。
高度な専門知識が求められる脆弱性対策を確実に行うためにも、こういったツールによるサポート機能には注目しておきたい。
テスト環境 |
セッション管理、携帯サイト…様々な環境への対応は要チェック! |
Webアプリケーションではもはや“当たり前”となっているセッション管理。対応していて当然…と言いたいところだが、どうなっているのだろうか?
多種多様なテスト環境に応じて柔軟に設定できるというAppScanは、もちろんセッション管理も対応済みだ。セッション情報を記録しログイン状態を監視することで、必要に応じて再ログインを実施。「いつの間にかセッションがタイムアウトし、残りのテストがすべてエラーに…!」といったトラブルを防ぐ。ほかにもFlashを利用したサイトや携帯サイトにも対応しており、今後も新たな技術にいち早く対応していくことが期待できる。
品質改善はもちろん、「開発者への意識付け」効果も見逃せない
|
様々なポイントが高く評価されている脆弱性テストツールだが、システムの品質やテスト期間も実際に「改善した・短縮できた」と答えたユーザが多く、ツール導入の効果は確実に出ている。 |
|
 |
導入前 |
ホスト系からオープン系へ…Webアプリセキュリティ強化が課題に |
◎東京海上日動システムズ株式会社
同社は東京海上日動火災保険を中心とした東京海上グループのシステム開発、保守などIT戦略全般を担う。同グループの基幹系システムの大部分はホスト系で構築されていたが、ユーザの利便性向上などからオープン系システムが増加。現在では数十万台の端末を数える代理店オンラインシステム、グループ各社のWebサイトのほか、100種類以上のWebアプリケーションを管理している。
世間ではWebサイトの脆弱性による情報漏洩などの問題が騒がれており、同社でもこれまで以上にWebアプリケーションセキュリティ強化を模索していた。しかもセキュリティ対策は開発者による属人的な対応に留まっており、「運用でエラーが見つかり、設計からやり直し…」など業務効率が悪いことも課題となっていた。
導入後 |
脆弱性テストが2〜3時間で終了!業務効率の大幅な向上に成功 |
機能・実績・操作性を基準に様々なソフトウェアを検証。必要な機能が網羅されており、価格もリーズナブルだったこと、また「協力ベンダ各社のほとんどが使っていた」という実績が決め手となりAppScanを採用した。
AppScanのテストは通常2〜3時間、大規模なテストであってもわずか数日で終了。手作業で実施した場合には「途方もない時間が掛かる」ということを考えると、作業時間が圧倒的に短縮されたことは間違いない。同社が管理する多くのWebアプリケーションもAppScanにより効率的にテストすることが可能となった。
また、検出された問題個所はレポートでチェックしてシステムを修正するため、次の開発時には注意してコーディングするようになり、同じバグの発生率も減少。セキュリティ品質だけでなく、開発者の意識向上のきっかけにもなっているという。
⇒ より詳細な導入事例は資料ダウンロードをチェック!
これからは開発ベンダもユーザ企業もセキュリティを意識すべき!
開発現場で利用されているイメージの強いAppScanだが、「自社で稼働中/今後利用するアプリケーション」のテストに使うユーザも約半数にのぼる。開発ベンダは言うまでもなく、ユーザ企業も自社のWebアプリケーションのセキュリティを意識する時代となっている。今回のアンケート結果からも、AppScanは品質向上・テスト期間短縮の効果に加えて、意識改善にも効果があることが見えてきた。もはや今後、導入は必須といっても過言ではないだろう。
テクマトリックス社では、2001年からAppScanの取扱いを開始し、500社以上に導入した実績を持つ。ライセンス販売や診断サービス以外にも日本語化支援などの活動を行っており、脆弱性テストに関するノウハウも豊富。自社のWebアプリケーションの脆弱性について不安を感じたら是非1度相談して欲しい。
⇒ アンケート回答者全員に小冊子「PCI DSSから見たWebアプリケーションセキュリティ」をプレゼント!
| 製品名 | IBM Rational AppScan Standard Edition |
|---|---|
| メーカー | IBM |
| クライアント側OS | Windows XP(SP2) / Vista / 2003 |
| クライアント側対応プロセッサ | Intel(R) Pentium P4 2.4GHz以上 |
| クライアント側必要メモリ容量 | 1GB以上 |
| クライアント側必要ディスク容量 | 10GB以上 |
| クライアント側その他動作環境 | Internet Explorer 6.0以上 Microsoft .Net Framework Version 2.0(SP1) Microsoft .Net Framework Version 3.0 Adobe Flash Player version 9.0.124.0以上 NIC:10/100Mbpsのネットワークカード |
| サーバ側OS | - |
| サーバ側対応プロセッサ | - |
| サーバ側必要メモリ容量 | - |
| サーバ側必要ディスク容量 | - |
| サーバ側その他動作環境 | - |
| その他特記事項 | - |
| 製品サイトURL:http://www.techmatrix.co.jp/products/security/watchfire/index.html | |
|
価格情報 251万円(税抜)〜 補足説明 |
|
サポートエリア 全国 補足説明 |
製品・サービスの取扱い企業
テクマトリックス株式会社
部署名:ネットワークセキュリティ事業部
住所:東京都港区高輪4-10-8 京急第7ビル
TEL:03-5792-8612
FAX:03-5792-8712
e-mail:watchfire@techmatrix.co.jp
URL:http://www.techmatrix.co.jp/products/security/watchfire/
掲載企業
テクマトリックス株式会社
部署名:ネットワークセキュリティ事業部
住所:東京都港区高輪4-10-8 京急第7ビル
TEL:03-5792-8612
FAX:03-5792-8712
e-mail:watchfire@techmatrix.co.jp
URL:http://www.techmatrix.co.jp/products/security/watchfire/