【レポート】

セキュアな設計・コーディングのeラーニングと脆弱性検査ツールのコンビネーション - CEATEC JAPAN 2017

様々なイノベーションの原石が一堂に会するCEATEC JAPAN 2017。今回も前回比引き続きUS Pavilionエリアで筆者の琴線に触れたブースを紹介していこう。今回お届けするのは、スキルや知識を開発フェーズで活かすことを主眼とした、質の高い学習環境を提供するSecurity Innovationの「TEAM Professor」と、高い脆弱性検出率でアプリケーションに潜むウィークポイントを見つけ出すことが可能なユービーセキュアの「Vex(Vulnerability Explorer)」が展示されていたSecurity Innovationブースだ。

CEATEC JAPAN 2017会場内US Pavilionエリアに出展していたSecurity Innovationブースより

一見すると「eラーニングサービスと脆弱性検出ツールが何故ひとつのブースで紹介されているの?」と思いがちだが、双方のサービスを組み合わせて利用することでその効果は幾重にも高まっていく。eラーニングツールTEAM Professorでは、不正アクセスやサイバー攻撃の多くがシステムやアプリケーション、ソフトウェアの脆弱性を悪用することで行われている昨今、脆弱性を排除するためには、セキュリティを考慮した設計・開発を学ぶことができる。

アプリケーションにまつわるセキュリティの基礎はもちろん、セキュアな開発を行う上で必要となる知識、悪意ある者たちが用いる攻撃手法やその防護対策などカリキュラムは充実している。また、CやC++、PHPやJava等の開発言語別、モバイルやクラウド、組み込みといったプラットフォーム別など、多数のナレッジを習得することが可能なのも魅力的だ。さらに、受講者の知識やスキルに応じた学習機会を提供してくれる。

TEAM Professorで受講することができるカリキュラムは、写真のように「セキュリティとは?」といった基礎的な部分はもちろん、目的やレベルに応じた内容を選択することが可能

各種攻撃に対する脆弱性のテストで肝要となる部分を学ぶことが可能。ここで得た知識をベースによりセキュアなアプリケーション開発に取り組むことができるというわけだ

一方のVexは、国産の脆弱性検出ツールとして好評を博しており、SQLインジェクションやXSS(クロスサイトスクリプティング)といったニュースで見聞きする攻撃手法への対応はもちろん、国産ツールならではのマルチバイト文字列の取り扱いに起因する脆弱性の検査シグネチャも充実しているのが特徴的だ。また、強力なシナリオ作成機能を有しており、例えばショッピングサイト上で商品をショッピングカートに入れ、配送先を入力。支払方法を選択して最終確認画面を経た上で商品を購入する、といった複雑なシナリオの作成も可能だ。他にも、登録機能と参照機能をまたいで確認する必要のある脆弱性、セカンドオーダーアタックと称された脆弱性を検出するテストシナリオの作成を行うことができる。

ログインして商品をカートへ入れて……といった、画面遷移をベースとした脆弱性検出のためのテストシナリオを作成することも可能

これらの柔軟性に富んだシナリオ作成機能に加え、ユービーセキュアが培ってきた経験やノウハウ、ユーザー企業からの情報をくみ取り日々進化させていくことで高い脆弱性検出率を誇っているそうだ。解説員に話を伺っていると「実は、導入企業様に評価いただいている要素がレポート出力機能なのです」との言葉。国産ツールだという強みが“読みやすい日本語によるレポート”の出力を可能にしているのだという。海外製品で多く見受けられる“なんとなく、言わんとしているコトは理解できるけど……リライトしないと日本語として読めないよ!”といった、さも機械翻訳的文章ではないため、レポーティングの手間が省けるというメリットは現場担当者に好評なのだそう。

こちらはVexより出力されるレポートの一例。純国産を謳うだけあり、日本語として読める文章で出力されている

現代のビジネスにおいて、インターネットを用いた商売は多くの企業において取り入れられていることだろう。それらの基盤となる様々なアプリケーションをセキュアに開発、あるいは安全性を担保し続けるためにTEAM Professorで社員が学び、その学びを経て生み出されたソリューションに脆弱性がないかVexでチェックしていく。このふたつのツールを循環し使い続けることによって、インシデント対応を講じる手段も相乗的に高まるのではないだろうか。



人気記事

一覧

イチオシ記事

新着記事