IPA、ウェブサイトの脆弱性を検査するオープンソースツール3種の評価レポートを公開
独立行政法人情報処理推進機構(以下、IPA)は12月12日、ウェブサイトの脆弱性を検査するオープンソースのツール3種の評価を行い、ツールの特徴と使用における留意点をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」をウェブサイトで公開した。
2013年は、ウェブアプリケーションやウェブサイトを構成するミドルウェアの脆弱性が原因で、多数のウェブサイトで改ざんや情報漏洩などが発生した。例えば、ユーザが改ざんされたウェブサイトを閲覧し、ウイルスに感染した場合、ウェブサイトを運営する組織は、ユーザへの謝罪や風評対策などの対応を迫られることになる。
現在、ウェブサイトを持たない組織はまれである一方で、ウェブサイトの安全性を適切に確認できている組織は、それに必要な技術者やコストの確保の面で決して多くないとIPAではみている。
そこでIPAでは、被害防止を図るため、自組織のウェブサイトが安全かどうかを検査する手法を紹介したレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を公開した。
レポートでは、ウェブサイト管理者がコストをかけずに簡易に利用できるよう、7つのオープンソースの脆弱性検査ツールからタイプ別に3種(「OWASP ZAP(Zed Attack Proxy)」、「Paros」、「Ratproxy」)を選定し、手順に沿った検査によるツールの評価を行い、ツールの特徴や使い勝手をまとめた。
ウェブサイトの安全性の確認には、オープンソースの利用はコスト面はもちろんのことツールによっては主要な脆弱性にも対応しており、運営者は無償かつ手軽に利用することができる。しかし、これらのツールには、検査方法、その精度、実施者に求められる経験など一長一短がある。そのため、検査実施にあたってはウェブサイトの運用環境や検査実施者のスキルなどを考慮し、適切なツールの選択が必要で、本レポートを参考にツール利用と脆弱性検査の有効性を確認することができる。
その他のニュース
- 2024/11/14 テクマトリックス、SBOMソリューションの販売を開始
- 2024/11/13 Ciscoのアクセスポイント製品にコマンドインジェクションの脆弱性、アップデートが推奨
- 2024/11/11 「Wine 9.21.0」リリース
- 2024/11/11 「Vivaldi 7.0」リリース
- 2024/11/11 KDEのソフトウェア群「KDE Gear 24.08.3」リリース
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- 情報処理推進機構(IPA)、小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえて「企業ウェブサイトのための脆弱性対応ガイド」 を改訂公開
- IPA、製品開発のテスト工程に活用できる脆弱性検出ツール「iFuzzMaker」を公開
- IPA、情報システムの非機能要求定義を効率的に行う手法を公開
- デザイン作業に役立つ!本格的なオープンソースツール6選
- エンタープライズDB、PostgresとMySQLのデータベースをリンクするオープンソースツールを発表
- Rustで実装されたコードエディタ「Zed」がオープンソース化
- IPA、イーシーキューブが提供する「EC-CUBE」を用いたWebサイトでの情報漏洩の増加に関して注意喚起
- シックス・アパート、最新版の「Movable Type 5.2」を出荷開始
- システムの弱点を補強するには?
- OSDS実験の概要