- 独自開発アプリの脆弱性は自分で見付けるしかない
- ツールの使いこなしには技術力が必要
- 診断サービスは少なからぬコストが掛かる
企業が独自開発したアプリケーション、特にWebアプリの脆弱性対策は、以前からその重要性が指摘されてきました。特に2005年前後には、SQLインジェクションという脆弱性が悪用されて、個人情報の漏えいやWeb の改竄ざんといった被害が相次ぎ表面化しました。こうした事件が世間を騒がせた結果、脆弱性対策の重要性が広く認知されるようになりました。それから10年経った今でも、Webアプリの脆弱性対策は多くの企業にとって、大きな悩みの種の一つであり続けています。
OSやミドルウエアの脆弱性であれば通常、発見の一報を受けた開発者がパッチを作成して公開します。それがセキュリティ情報として広まり、私たちは自社のシステムに脆弱性があることを知るわけです。一方、企業が独自に開発したWebアプリの脆弱性については、自分たちで発見するしかありません。それができないと、誰かに悪用されて実際に被害が発生してはじめて、脆弱性に気づくことになります。
今回は、脆弱性を極力作り込まないようにする開発方法論ではなく、Webアプリの脆弱性をいかに自力で発見するかについて解説します。Webアプリの脆弱性が危険なことは既に広く認知されているので、こうした脆弱性を発見するためのツールが多数存在します。また、外部から脆弱性を発見する脆弱性診断サービスも各種提供されています。
