• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1分で理解するプロの知恵[セキュリティ編]

Web脆弱性発見はツールやサービスに頼れ

鴨志田 昭輝=リクルートテクノロジーズ 2016/03/03 日経SYSTEMS
出典:日経SYSTEMS 2015年7月号p.105
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧
  • 独自開発アプリの脆弱性は自分で見付けるしかない
  • ツールの使いこなしには技術力が必要
  • 診断サービスは少なからぬコストが掛かる

 企業が独自開発したアプリケーション、特にWebアプリの脆弱性対策は、以前からその重要性が指摘されてきました。特に2005年前後には、SQLインジェクションという脆弱性が悪用されて、個人情報の漏えいやWeb の改竄ざんといった被害が相次ぎ表面化しました。こうした事件が世間を騒がせた結果、脆弱性対策の重要性が広く認知されるようになりました。それから10年経った今でも、Webアプリの脆弱性対策は多くの企業にとって、大きな悩みの種の一つであり続けています。

 OSやミドルウエアの脆弱性であれば通常、発見の一報を受けた開発者がパッチを作成して公開します。それがセキュリティ情報として広まり、私たちは自社のシステムに脆弱性があることを知るわけです。一方、企業が独自に開発したWebアプリの脆弱性については、自分たちで発見するしかありません。それができないと、誰かに悪用されて実際に被害が発生してはじめて、脆弱性に気づくことになります。

 今回は、脆弱性を極力作り込まないようにする開発方法論ではなく、Webアプリの脆弱性をいかに自力で発見するかについて解説します。Webアプリの脆弱性が危険なことは既に広く認知されているので、こうした脆弱性を発見するためのツールが多数存在します。また、外部から脆弱性を発見する脆弱性診断サービスも各種提供されています。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ ツールに関しては、ソースコードをスキャンして脆弱...
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る