タブの始まり
常に外部からの攻撃にさらされている Web アプリケーション。度々注意を喚起されているにもかかわらず、SQL インジェクションなどによる情報漏えい被害は後を絶ちません。Web アプリケーションの脆弱性を検査するには多大な労力やコストがかかり、完全な対策はできないまま、というケースも多く見かけます。
Web アプリケーションの脆弱性テストの課題について、Web アプリケーション開発を行っているお客様 A 社の開発チーム・リーダーからのお問い合わせに、IBM のコンシェルジュがお答えする形式でわかりやすく解説します。
約90%の Web アプリケーションに脆弱性が…
A 社で Web アプリケーションの開発を行っている者ですが…。
はい、こちら IBM コンシェルジュ・サービスです。
お問い合わせいただきありがとうございます。
どのようなご相談でしょうか?
-
実はお客様の関連会社で SQL インジェクションによる情報漏えいがあったようで、うちでいま進めているプロジェクトもちょっと心配になって…。
-
そうですか、脆弱性テストは実施されていますか?
-
はい、しています。
ただ期間が限られていたので、テストはメインのところだけ。
十分テストできているか、というと不安なんです。
-
それは心配ですね。
いろいろと興味深い資料がありますのでメールでお送りします。
以後は、それをご覧いただきながらお話を進めましょう。
-
いま、メールが届きました。
ファイルを開いてみますので、説明をお願いします。
-
では、説明させていただきます。
ある調査によれば、Web アプリケーションへの攻撃の第1位はクロスサイト・スクリプション、第2位は SQL インジェクション。この2つが約8割を占めています。これらの攻撃はネットワーク機器などで防ぐことは難しく、Web アプリケーションを修正するしかありません。しかし「テスト実施に時間がかかる」「小規模な改修だから省略した」などの理由から、脆弱性テストが不十分なケースが多いのが現状です。
約90%にものぼる Web アプリケーションに脆弱性があると言われています。被害に遭っていないのは、アプリケーションが安全なのではなく“偶然今まで攻撃されなかっただけ”かもしれません。
脆弱性を狙った不正接続による最近 (2007年から2008年) の被害例
アンケートにお答えいただいたお客様に「AppScan トライアル CD」をプレゼント
IBM® Rational® AppScan® についてもっと詳しく知りたいという方は、いますぐ、以下のアンケートにご回答ください。いまなら、「AppScan トライアル CD」を進呈いたします。
コンシェルジュ・サービス
IBM Express Advantageでは中堅企業のお客様のためにコンシェルジュを設けました。
コンシェルジュ・サービスとは?
よくあるお問い合わせとは?
コンシェルジュ・サービスについて簡単にご説明します。
Flash版を見るにはAdobe® Flash® Playerが必要です。 Adobe Flash Player
お問い合わせコンシェルジュへ
コンシェルジュ・サービス
アンケート
IBM Rational AppScan についてもっと詳しく知りたいという方は、いますぐ、以下のアンケートにご回答ください。いまなら、「AppScan トライアルCD」を進呈いたします。