タイトルになっている「ファジング」は,不正なデータを入力することによって,ソフトウエアのバグや脆ぜいじゃく弱性をチェックすることを指す。本書では,そのファジングを使ったセキュリティ・チェックの具体的な手法を解説する。対象とする読者は,セキュリティ担当者だけでなく,ソフトウエア開発者も含む。読み解いたり活用したりするための前提知識として,ネットワークだけでなく,プログラミングの知識も必要な中上級者向けの一冊だ。
本書は,まずファジングと,ソースコード・レビューといったほかのセキュリティ・チェック方法との違いを説明する。ファジングの利点だけでなく,欠点や限界もわかるようになっている。そのあと,引数,環境変数,Webアプリケーション,ファイル,ネットワーク・プロトコルといったターゲット別にファジングの手法を解説する。さらに,プロトコル自動解析といった最先端のファジング技術や,ファジングの将来についても触れる。
いまや,ソフトウエアの開発時にセキュリティを考慮するのは当たり前だ。これからは,ファジングによって開発したソフトウエアの安全性を確認することも欠かせないだろう。本書は,ソフトウエア開発に携わるエンジニアに特に勧めたい。
ファジング
マイケル・サットン/アダム・グリーン/ペドラム・アミニ著
園田 道夫監訳
毎日コミュニケーションズ発行
6090円(税込)
