あらゆるきぼのきぎょうがWebアプリケーションをりようしている。そしてハッカーはこうしたオンラインアプリケーションのじゃくてんをつねにさぐっている。Webアプリケーションはかちのたかいバックエンドデータベースへのいりくちになるからだ。ブログやWiki、RSSなど、せんしんてきなインターネットぎじゅつによるWeb2.0きのうのとうじょうにともない、Webアプリケーションはきょうりょくかつふくざつになり、きゅうそくなしんかをとげている。そうしたなかでアプリケーションにあらたなぜいじゃくせいがはっせいするかのうせいがぞうだいしている。
かいはつしゃがせんざいてきなセキュリティホールをちょうさし、はっけんするのをしえんするツールとして、Webアプリケーションぜいじゃくせいスキャナがたすうていきょうされている。こうしたツールは、しゅどうでおこなうとじかんがかかるめんどうなさぎょうをじどうかし、スピードアップすることをもくてきとしている。Webサイトないをじゅんかいしてかくしゅのこうげきシナリオをしこうすることで、スキャナはアプリケーションのおうとうをセキュリティぜいじゃくせいシグネチャのデータベースとしょうごうする。
●ふきゅうがすすまないりゆう
Webアプリケーションぜいじゃくせいスキャナはべんりではあるが、すべてのかいはつチームにとってのひっけいツールとしてていちゃくするにはいたっていない。そのおおきなりゆうはコストだ。しかし、むりょうでにゅうしゅできるスグレたオープンソーススキャナもいろいろある。いかでは、Webアプリケーションぜいじゃくせいスキャナのどうにゅうがなかなかすすまないいくつかのりゆうをけんとうしてみよう。
・せんたくしがひじょうにおおい
ぜいじゃくせいスキャナのこうにゅうをけんとうするひとのおおくは、さまざまなスキャナをひかくしてせんたくするのがむずかしいことにきづく。よさんようけんと、とくていのアプリケーションプラットフォームにたいおうするきのうようけんのりょうほうをみたすスキャナはなさそうにみえる。だが、スキャナのひかくとせんたくのさんこうになるWebApplicationSecurityScannerEvaluationCriteria(えいご)がこうかいされており、てがるにりようできる。これは、WebアプリケーションのぜいじゃくせいをとくていするきのうについてWebアプリケーションセキュリティスキャナをひょうかするためのいちれんのガイドラインをまとめたものだ。
・かぎられたぜいじゃくせいしかはっけんできない
スキャナがきぎょうにていちゃくしていないりゆうの1つとして、ネットワークセキュリティの「よくしられた」ぜいじゃくせい、つまりたいおうするシグネチャがよういされているぜいじゃくせいしかはっけんできないことがあげられる。スキャナのきのうにかんするこだいせんでんにより、ユーザーのきたいはひげんじつてきなものになっている。じっさいにはこのツールだけではかんぜんなぜいじゃくせいひょうかはできない。とはいえいっぱんてきなぎじゅつてきぜいじゃくせい、たとえばSQLインジェクションのけっかん、クロスサイトスクリプティングのぜいじゃくせい、パラメータかいへん、hiddenフィールドそうさ、バックドア、デバッグオプション、バッファオーバーフローなどのぜいじゃくせいのはっけんに、スキャナがいりょくをはっきするのはたしかだ。
しかし、カスタムかいはつされたWebアプリケーションのばあいはそうはいかない。Webサイトのカスタムアプリケーションコードはちゅういすべききけんなようそであり、Ajaxをさいようしているものはとくにそうだ。サーバがわのきのうがそれぞれハッカーのこうげきポイントになるからだ。ユーザーとサービスのまではっせいするやりとりのバリエーションがひじょうにおおいこうしたタイプのアプリケーションでは、テストをじどうかしにくい。いちぶのぜいじゃくせいがスキャナのチェックをすりぬけるおそれがあるからだ。
・まかせきりにはできない
スキャナがしんのじんこうちのうをりようできるようになるまでは、いちぶのカテゴリのぜいじゃくせいはスキャナでははっけんしにくいままだろう。スキャナはこうぶんてきなじょうほうをしょりすることしかできない。コンテキストのなかでれいがいじしょうをとらえたり、そうしたじしょうについてきはんてきはんだんをおこなったりすることはできない。ちょっかんてきなけつろんをうみだしたりみちびいたりするぎじゅつがじつげんしないかぎり、ぶんせきてきすいろんによってデータのりゅうしゅつをさっちするようなことは、コンピュータにはまったくふかのうだ。セキュリティせんもんかだけがビジネスロジックのぜいじゃくせいをとくていできる。こうしたタイプのぜいじゃくせいはコンテキストにかかわるものだからだ。
●アプリケーションぜいじゃくせいスキャナにもとめられるもの
それでも、アプリケーションぜいじゃくせいスキャナがアプリケーションのかいはつライフサイクルではたせるやくわりはおおきい。このツールをつかえば、いっぱんてきなプログラミングエラーをじんそくにはっけんできるため、ひとでによるコードのレビューやぶんせきによりおおくのじかんをかけられる。さいしんのきちのもんだいをチェックさせるために、スキャナはていきてきにアップデートすることがのぞましい。さらに、スキャナはかんせいしたアプリケーションにたいしてだけでなく、そのかいはつライフサイクルぜんたいをつうじてりようできなければならない。こうかてきなツールであるためには、かくスキャンでしゅうしゅうしたじょうほうをいこうのチェックにいかすしくみをそなえているひつようがある。また、てさぎょうによるぶんせきとじどうぶんせきをくみあわせてかつようできるきのうもひつようだ。たとえば、HTTP/HTTPSリクエストおよびレスポンスのひょうじ、へんこう、きろくがかのうなスキャナをつかえば、かいはつしゃはアプリケーションのきょどうをリアルタイムに、あるいはのちでレビューのさいにかしかしてしらべることができる。また、スキャンリポートはわかりやすいものでなければならず、スキャナじたいもつかいやすくなければならない。スキャナでなにがチェックでき、なにがチェックできないかをしめすガイドラインもひつようになる。これらのようけんはいずれもさまざまなスキャナでみたされているが、これらをすべてクリアするスキャナはまだそんざいしない。
スキャナをしゅうとくしてさいだいげんにかつようするにはじかんがかかるだろうし、かいはつしゃはただでさえはたらきすぎのけいこうがある。しかし、ほんばんかんきょうでぜいじゃくせいをしゅうせいするコストをかんがえれば、このアプリケーションけんしょうツールはどうにゅうをけんとうするにあたいする。
ほんこうひっしゃのマイケル・コッブしは、データセキュリティおよびかいせきにかんするトレーニングやサポートをていきょうするITコンサルティングかいしゃ、CobwebApplicationsのそうぎょうしゃけんマネージングディレクター。CISSP-ISSAP(こうにんじょうほうシステムセキュリティプロフェッショナル―じょうほうシステムセキュリティアーキテクチャプロフェッショナル)のしかくをもつ。きょうちょしょとして「IISSecurity」があり、しゅようなITしゅっぱんぶつにおおくのぎじゅつきじをきこうしている。
Webアプリケーションサーバこうげきをけんち・そしするには
きょういモデリングでWebアプリのセキュリティをきょうかする
「レスポンスタイムとセキュリティたいさくがいのち」きんゆうきぎょうのせいひんせんたくポイント
ファイアウォールだけではふせげない──だんかいてきなぜいじゃくせいしんだんがシステムをまもる
Webアプリのセキュリティ――2007ねんの8だいリスクよそう
