IPA、ウェブサイトの脆弱性を検査するオープンソースツール3種の評価レポートを公開

独立行政法人情報処理推進機構（以下、IPA）は12月12日、ウェブサイトの脆弱性を検査するオープンソースのツール3種の評価を行い、ツールの特徴と使用における留意点をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介（ウェブアプリケーション編）」をウェブサイトで公開した。

2013年は、ウェブアプリケーションやウェブサイトを構成するミドルウェアの脆弱性が原因で、多数のウェブサイトで改ざんや情報漏洩などが発生した。例えば、ユーザが改ざんされたウェブサイトを閲覧し、ウイルスに感染した場合、ウェブサイトを運営する組織は、ユーザへの謝罪や風評対策などの対応を迫られることになる。

現在、ウェブサイトを持たない組織はまれである一方で、ウェブサイトの安全性を適切に確認できている組織は、それに必要な技術者やコストの確保の面で決して多くないとIPAではみている。

そこでIPAでは、被害防止を図るため、自組織のウェブサイトが安全かどうかを検査する手法を紹介したレポート「ウェブサイトにおける脆弱性検査の紹介（ウェブアプリケーション編）」を公開した。

レポートでは、ウェブサイト管理者がコストをかけずに簡易に利用できるよう、7つのオープンソースの脆弱性検査ツールからタイプ別に3種（「OWASP ZAP(Zed Attack Proxy)」、「Paros」、「Ratproxy」）を選定し、手順に沿った検査によるツールの評価を行い、ツールの特徴や使い勝手をまとめた。

ウェブサイトの安全性の確認には、オープンソースの利用はコスト面はもちろんのことツールによっては主要な脆弱性にも対応しており、運営者は無償かつ手軽に利用することができる。しかし、これらのツールには、検査方法、その精度、実施者に求められる経験など一長一短がある。そのため、検査実施にあたってはウェブサイトの運用環境や検査実施者のスキルなどを考慮し、適切なツールの選択が必要で、本レポートを参考にツール利用と脆弱性検査の有効性を確認することができる。