株式会社ユービーセキュア ソフトウェア事業部 ソフトウェアソリューション部 部長 最首壮一氏

安全なWebサイト運営に欠かすことができない脆弱性診断。これまで主に外部サービスの利用によって行われていた脆弱性診断だが、近年では内製化の方向へと進みつつある。コストの削減やノウハウの蓄積など、内製化によって企業が得られるメリットは大きい。その一方で、脆弱性診断によって生じる手間の増加と診断技術に関するノウハウの蓄積方法といった課題が立ちはだかる。

これらを解決する方法としていま注目されているものが、ツールを活用した脆弱性診断の自動化である。本記事では、新たなバージョンより自動巡回機能を搭載したWebアプリケーション脆弱性検査ツール「VEX (ベックス)」の開発者であるユービーセキュア ソフトウェア事業部 ソフトウェアソリューション部の最首壮一氏と関根鉄平氏に、脆弱性診断の内製化について解説いただいた。

脆弱性診断のトレンドは内製化へ

相次ぐ情報漏えい事件により、世間一般の情報セキュリティ意識はますます高まっている。その結果、企業におけるセキュリティ対策のコストは増加の一途をたどっている。そのため近年では、これまで外部に依頼していた脆弱性診断などを内製化し、社内にノウハウを蓄積させてコストの削減と人材育成に力を注ぐ方向へと進みつつある。

ただし、内製化を行う際の初期段階においては、技術やノウハウが少なく、人材育成も進んでいない状況のため、逆に手間とコストがかかってしまうといったケースが数多く見受けられる。

その問題を解決する手段となるものが検査ツールを活用した脆弱性診断の内製化である。検査ツールが自動的にWebサイトを巡回し、検査を行うことができれば、手間を省くことも、技術やノウハウ不足も補うことができる。ただし、そこには「自動巡回では、検査ページを正しく巡回(遷移を再現)できず、検査の質が落ちる可能性がある」というさらなる問題が潜んでいる。

これまでの自動巡回機能が抱える課題

Webサイトを自動的に巡回し脆弱性を検査する「自動巡回機能」。検査の手間を省くと同時に、難しい操作や設定が不要となるため、一般的な検査ツールにおいて普及している技術である。

同社 ソフトウェア事業部 ソフトウェアソリューション部 VEX開発グループ シニアマネージャ 関根鉄平氏

ユービーセキュアのVEXにおいても、以前から自動巡回機能搭載についての話はあった。ただ、VEXの開発チームでは、なかなか搭載に踏み切ろうとしなかった。その最大の理由は「自動巡回の場合、遷移が再現できないケースもあるため、検査の質を保てないと考えたからです」と最首氏はいう。

最近のWebサイトでは、ショッピングサイトに代表されるように、商品選択から住所情報など、ユーザーが入力する項目が増えている。このような入力情報が多いWebサイトを単純に自動巡回すると、次のページに進むことができず、延々とエラー画面ばかりを検査することになり遷移が再現できないケースが発生する。もし自動巡回で遷移の再現性を保とうとするのなら、これらエラー画面についての設定を細かく行わなくてはならない。

「結局、人の技術やノウハウがなければ十分な検査はできません。自動巡回機能を搭載しても、設定の手間が増えたり、検査の質が落ちてしまったりしては、意味がありません」(最首氏)

VEXは、その高い検出率によって、多くのユーザーから支持を得てきた脆弱性検査ツールである。自動巡回機能の搭載によって便利になっても、検出率が維持できなければ本末転倒なため、関根氏をはじめとする開発者チームは、VEXに自動巡回機能を搭載することに否定的だったのだ。

「VEXらしさを失う可能性があった自動巡回機能の搭載には最初から反対でしたが、チーム内で議論を重ねていく中で、VEXらしい自動巡回機能のイメージが見えてくるようになりました。その瞬間、俄然やる気になりましたね(笑)」と関根氏は強調する。

自動と手動を使い分け、手間の削減と質の確保を実現

VEXでは新バージョンである5.8より自動巡回機能が搭載されている。その主な特徴は以下の3つ。

  1. 画面遷移図:回ったところがすぐに分かるように、巡回した画面のスクリーンショットを表示
    2.
  2. フォーム検出機能:自動巡回できなかった箇所を検出し、追加情報を設定することで、失敗した箇所から自動巡回を再開
    3.
  3. インポート(手動ログ):手動で巡回したデータ(ログ)をインポートし、自動巡回のデータとして検査に使用
    4.

では、これらが具体的にどのようなものか。実際にVEXの操作手順の画面を参照しながら解説していこう。

1.自動巡回機能によってサイトの脆弱性を検査。巡回したページのスクリーンショットを描画しながら「画面遷移図」を作成。巡回できなかった場所には、「フォーム検出機能」によりアラートマークが表示される。

2.アラートマークが表示されている画面遷移図(カメラアイコン)をクリックすると、スクリーンショットが表示される。

3.追加で設定が必要となる情報(ここではメールアドレスとコメントに入力する項目)を設定。

4.すると、自動巡回が再開し、巡回できなかった次のページに遷移が進む

なお、自動巡回で遷移が困難な場合には、手動で巡回したデータ(ログ)をインポートし、自動巡回のデータとして検査に活用することができる。

アラートマーク(エラー)が出ているページは、その先をどのようにすれば巡回できるか自動では判断がつかない、つまり遷移の再現ができていないページである。ここを巡回しないままにしてしまっては当然、検査の質は落ちる。そこで巡回がうまく行かなかった部分に対しては手動で設定を行い遷移が再現できる。この自動と手動の組みあわせによって「検査の質を担保する」、これが関根氏の言う「VEXらしい自動巡回機能の使い方」である。

そしてもう一つ、注目すべき点がある。それはキャプチャー画面を用いた、わかりやすい「画面遷移図」だ。これは、上に表示された操作画面をみてもらえば、サイトの構造から、課題がある箇所まで一目瞭然なのがお分かりいただけることだろう。

見た目にきれいでわかりやすいレポートをそのまま出力

VEXが持つ、もう一つの特徴に多彩なレポート出力がある。国産であるが故に、日本語表記のレポートがしっかりしていることは当然のことながら、国内の業務ニーズに合ったレポート出力に対応している。例えば、前述の自動巡回によって表示された「画面遷移図」は、診断対象の確認選定業務に必要な情報だが、他検査ツールではレポート出力に対応していない。VEXでは、既存ユーザーからのニーズに応え、Excel形式で出力が可能だ。

「脆弱性診断を行うよりも、報告のためのレポート作成に手間や時間がかかる場合があります。少しでも、そのような負担を減らすために、出力したそのままで納品できるような、見た目にもきれいでわかりやすいレポート出力はこだわりがあります」(最首氏)

Excel形式で出力された遷移画面図

高い検出率によって多くの支持を集めてきた脆弱性検査ツールVEX。実は以前より関根氏らの元には、自動巡回機能についての問い合わせが数多く届いていたとのことだ。

「今回、ようやくVEXらしい自動巡回機能の搭載が実現できました。これを、是非とも多くの皆さんに知っていただきたいと考えています」(関根氏)

現在ユービーセキュアでは、2015年12月末までにVEXを新規にご注文いただいたお客様(先着10社様)に今回の自動巡回機能の操作が学べるeラーニング(定価:9万9千円)を無料でご提供いたします。

<お問い合わせ先>

株式会社ユービーセキュア 営業統括部 VEX担当

E-mail: vex@ubsecure.jp

HP:http://www.ubsecure.jp/

(マイナビニュース広告企画:提供 ユービーセキュア)

[PR]提供:ユービーセキュア