ソフテックは11月17日,Webアプリケーションのセキュリティ・ホールを検出するツールを発表した。名称はWebProbe。12月1日に出荷する。Webアプリケーションのセッション管理と呼ばれる機能のセキュリティ・ホールによって,他人によるなりすましなどが可能になっているかどうかを調査する。

検査中の画面
結果表示画面
 セッション管理とは,Webアプリケーションで,Cookieなどによりサーバーがクライアントを識別する仕組み。Webアクセスにおいては,1ページ表示するごとにクライアントとサーバーの接続は切断されるため,Webアプリケーションは,セッションIDと呼ばれるデータによりクライアントを識別する必要がある。Cookieのほか,URLにセッションIDデータを埋め込む方法などが使用される。しかし,セッションIDが盗聴や推定によって他者に使用された場合,本来のユーザーになりすまされ,個人情報漏えいなどの被害につながる可能性がある。

 WebProbeは「アクセス制御が行われていない」「ユーザー識別が行われていない」「暗号化されないアクセスにセッションIDが含まれる」「安全ではないCookieの使用」などの20項目以上のセッション管理のセキュリティ・ホールを検査する。

 独立行政法人 産業技術総合研究所 グリッド研究センターセキュアプログラミングチーム長の高木浩光氏とソフテックが共同研究により基本設計を行い,情報処理振興事業協会(IPA)の「2002年度電子政府情報セキュリティ技術開発事業」に採択された事業の成果を製品化した。

 価格は1カ月の利用ライセンスが9万8000円。このツールを利用した検査サービスも提供する。

(高橋 信頼=日経システム構築)