社内の幅広い人材を巻き込むことで「セキュリティ品質」の向上を図る

日本IBM、ソフトウェア事業セキュリティシステムズ事業部の徳力拓氏

続いての第2部では、日本IBM、ソフトウェア事業セキュリティシステムズ事業部の徳力拓氏が、同社のWebアプリケーション脆弱性検査ツール「IBM Security AppScan」の紹介を行った。AppScanは、SCSKのWeb Security Directorにおいて、公開Webサイトに対する脆弱性診断や、実装、テストフェーズでのソースコード診断などに実際に利用されているツールだ。Webアプリケーションのさまざまなセキュリティ要件に対するチェック、診断を自動的に行い、大幅な省力化、迅速化を実現できる点が特長となる。

「安全なアプリケーションの開発にあたっては、しっかりとした『検査』を行うことが重要です。しかしながら、それをすべて人手で行うのは難しく、場合によっては検査が不可能なケースも出てきてしまいます。AppScanでは、そうしたアプリケーション、ソースコードの検査を自動化し、網羅的な検査を可能とすることで、セキュアなアプリケーションの開発を支援します」(徳力氏)

徳力氏は、Webアプリケーションに対する攻撃からシステムを守るための一般的な方策として「Webアプリケーションファイアウォール」や「侵入検知システム(IPS)」などを挙げた。しかしながら、これらの対策だけでは防げない攻撃が存在し、それに対抗するためには、「アプリケーション自体をセキュアなコードによって記述する」ことが最も重要であると強調した。

「Webアプリケーションレイヤに脆弱性があった場合、そこを攻撃で破られてしまうと、重要なデータが格納されたデータベースの内部を荒らされてしまう可能性が大きく高まってしまいます。そのため、アプリケーション自体のセキュリティレベルが高いことが重要なのです」(徳力氏)

AppScanは、「アプリケーションのスキャン」「問題の発見と解析」「結果のレポート」といった機能を提供する。検査結果のレポートは、問題の個所と、その問題への具体的な対応方法が合わせて提示されるため、検査後の修正も行いやすいという。

AppScanのエディションには、既にURL化され稼働しているWebアプリケーションに対しての検査(動的検査)を行える「AppScan Standard」と、開発のテストフェーズでソースコードそのものに対する検査(静的検査)が行える「AppScan Source」がラインアップされている。これらを組み合わせて利用することで、開発ライフサイクル全般を通じた高度なセキュリティ対策が可能になるとする。

AppScan Standardは、テスト環境などに展開されたWebアプリケーションに対して「擬似的なハッキング行為」を行い、問題の有無を発見できるツールだ。Webアプリケーションをブラックボックスとして検査するため、インフラの種類や開発言語などに依存せずに検査ができるという特長がある。また、検査自体は自動的に行われるため、手作業に比べて圧倒的な網羅性を確保できる点もポイントだ。

検査内容は、分かりやすいウィザード形式で設定できる。ウィザードでは、ドメインの設定、スキャンするURLの設定、ログイン方法の指定、セッション状況の確認の有無なども指定可能だ。また、フォームに自動的に入力するデータのパターンをあらかじめ設定しておく機能も用意されている。

ウィザードでの設定が完了すると、AppScanはテストの実行前にアプリケーションの構造自体をチェックする。検査の担当者はアプリケーションにどういったパラメータが含まれているかを、この構造解析によってすべて確認できるため、設定したテストが必要な範囲を網羅しているかを事前に確認できるようになっている。