様々なむノベヌションの原石が䞀堂に䌚するCEATEC JAPAN 2017。今回も前回比匕き続きUS Pavilion゚リアで筆者の琎線に觊れたブヌスを玹介しおいこう。今回お届けするのは、スキルや知識を開発フェヌズで掻かすこずを䞻県ずした、質の高い孊習環境を提䟛するSecurity Innovationの「TEAM Professor」ず、高い脆匱性怜出率でアプリケヌションに朜むりィヌクポむントを芋぀け出すこずが可胜なナヌビヌセキュアの「VexVulnerability Explorer」が展瀺されおいたSecurity Innovationブヌスだ。

CEATEC JAPAN 2017䌚堎内US Pavilion゚リアに出展しおいたSecurity Innovationブヌスより

䞀芋するず「eラヌニングサヌビスず脆匱性怜出ツヌルが䜕故ひず぀のブヌスで玹介されおいるの」ず思いがちだが、双方のサヌビスを組み合わせお利甚するこずでその効果は幟重にも高たっおいく。eラヌニングツヌルTEAM Professorでは、䞍正アクセスやサむバヌ攻撃の倚くがシステムやアプリケヌション、゜フトりェアの脆匱性を悪甚するこずで行われおいる昚今、脆匱性を排陀するためには、セキュリティを考慮した蚭蚈・開発を孊ぶこずができる。

アプリケヌションにた぀わるセキュリティの基瀎はもちろん、セキュアな開発を行う䞊で必芁ずなる知識、悪意ある者たちが甚いる攻撃手法やその防護察策などカリキュラムは充実しおいる。たた、CやC、PHPやJava等の開発蚀語別、モバむルやクラりド、組み蟌みずいったプラットフォヌム別など、倚数のナレッゞを習埗するこずが可胜なのも魅力的だ。さらに、受講者の知識やスキルに応じた孊習機䌚を提䟛しおくれる。

TEAM Professorで受講するこずができるカリキュラムは、写真のように「セキュリティずは」ずいった基瀎的な郚分はもちろん、目的やレベルに応じた内容を遞択するこずが可胜

各皮攻撃に察する脆匱性のテストで肝芁ずなる郚分を孊ぶこずが可胜。ここで埗た知識をベヌスによりセキュアなアプリケヌション開発に取り組むこずができるずいうわけだ

䞀方のVexは、囜産の脆匱性怜出ツヌルずしお奜評を博しおおり、SQLむンゞェクションやXSS(クロスサむトスクリプティング)ずいったニュヌスで芋聞きする攻撃手法ぞの察応はもちろん、囜産ツヌルならではのマルチバむト文字列の取り扱いに起因する脆匱性の怜査シグネチャも充実しおいるのが特城的だ。たた、匷力なシナリオ䜜成機胜を有しおおり、䟋えばショッピングサむト䞊で商品をショッピングカヌトに入れ、配送先を入力。支払方法を遞択しお最終確認画面を経た䞊で商品を賌入する、ずいった耇雑なシナリオの䜜成も可胜だ。他にも、登録機胜ず参照機胜をたたいで確認する必芁のある脆匱性、セカンドオヌダヌアタックず称された脆匱性を怜出するテストシナリオの䜜成を行うこずができる。

ログむンしお商品をカヌトぞ入れお  ずいった、画面遷移をベヌスずした脆匱性怜出のためのテストシナリオを䜜成するこずも可胜

これらの柔軟性に富んだシナリオ䜜成機胜に加え、ナヌビヌセキュアが培っおきた経隓やノりハり、ナヌザヌ䌁業からの情報をくみ取り日々進化させおいくこずで高い脆匱性怜出率を誇っおいるそうだ。解説員に話を䌺っおいるず「実は、導入䌁業様に評䟡いただいおいる芁玠がレポヌト出力機胜なのです」ずの蚀葉。囜産ツヌルだずいう匷みが“読みやすい日本語によるレポヌト”の出力を可胜にしおいるのだずいう。海倖補品で倚く芋受けられる“なんずなく、蚀わんずしおいるコトは理解できるけど  リラむトしないず日本語ずしお読めないよ”ずいった、さも機械翻蚳的文章ではないため、レポヌティングの手間が省けるずいうメリットは珟堎担圓者に奜評なのだそう。

こちらはVexより出力されるレポヌトの䞀䟋。玔囜産を謳うだけあり、日本語ずしお読める文章で出力されおいる

珟代のビゞネスにおいお、むンタヌネットを甚いた商売は倚くの䌁業においお取り入れられおいるこずだろう。それらの基盀ずなる様々なアプリケヌションをセキュアに開発、あるいは安党性を担保し続けるためにTEAM Professorで瀟員が孊び、その孊びを経お生み出された゜リュヌションに脆匱性がないかVexでチェックしおいく。このふた぀のツヌルを埪環し䜿い続けるこずによっお、むンシデント察応を講じる手段も盞乗的に高たるのではないだろうか。