情報処理推進機構(IPA)は12月12日、Webサイトの脆弱性を検査するオープンソースツール3種の特徴をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を公開した。

Webサイトの安全性を確認する際にオープンソースツールを利用することで、低コストで主要な脆弱性をチェックすることができる。しかし、これらのツールはそれぞれ検査方法や精度などが異なっており、Webサイトの運用環境や利用者のスキルをふまえてツールを選択する必要がある。

このほど公開されたレポートには、このようなツールの選択と利用に関して参考になる情報が掲載されている。レポートで取り上げられているのは、「OWASP ZAP(Zed Attack Proxy)」「Paros」「Ratproxy」の3つで、各ツールの使用に要するスキルや操作性、検知精度などが比較されている。

各ツールの特徴比較(発表資料より)

レポートはIPAのWebサイトで公開(PDF)している。