情報処理推進機構

情報処理推進機構(IPA)はWebアプリケーションやWebサイトのセキュリティ脆弱性に関する啓蒙活動の一環として「ウェブサイトにおける脆弱性検査手法の紹介」を公開した。WebアプリケーションやWebサイトのセキュリティ脆弱性を検査する3つのツールを紹介する内容になっており、ツールの説明からインストール方法、使用方法、出力結果の読み方などが紹介されている。

同レポートでは手動検査型、自動検査型、通信監視型という3種類のカテゴリに分類した上で、「Paros」「WebScarab」「OWASP ZAP」「skipfish」「OpenVAS」「Nikto」「Ratproxy」という7つのツールを紹介。それぞれの特徴を比較した上で、それぞれのカテゴリにおいてひとつのツールを紹介するとして特に「Paros」「OWASP ZAP」「Ratproxy」の使い方を詳しく紹介している。

2013年はWebサイトやWebアプリケーションのセキュリティ脆弱性を利用したコンテンツの改ざんやマルウェアへの感染などが広く実施された年だった。WebアプリケーションやWebサイトは構築されたあとはセキュリティ的な監視や対策が実施されずに放置される傾向がある。IPAから公開されたレポートはサイトの運用に活用できる資料として参考になる。