編集長の試用体験記「IBM Rational AppScan」(3)自動テストと手動テスト | ScanNetSecurity
2021.05.12(水)

編集長の試用体験記「IBM Rational AppScan」(3)自動テストと手動テスト

「AppScan(アップスキャン)」という脆弱性スキャンツールを知らない本誌読者は恐らく少ないだろう。筆者ももちろん例外ではない。しかし、私がペネトレーションテストに取り組み始めた頃のAppScanといえば、フリーのスキャンツール「Paros」と同程度の信頼性しかなかった

特集 特集
「AppScan(アップスキャン)」という脆弱性スキャンツールを知らない本誌読者は恐らく少ないだろう。筆者ももちろん例外ではない。しかし、私がペネトレーションテストに取り組み始めた頃のAppScanといえば、フリーのスキャンツール「Paros」と同程度の信頼性しかなかった上に、価格が高いツール、もっぱらそんなネガティブなイメージを持っていたことを告白しよう。それから早6年が経過した訳だが、AppScanをペネトレーションテストの現場で見かけることは随分多くなっている実感がある。

一方で、効果的なツールを使って診断を自動化したり、社内で内製化したいというニーズは社会的に高まっている。AppScanは、どの程度この需要に応えることができるだろうか。今回筆者は、日本IBM社の協力を得て、そんな筆者の疑問を検証する機会を得たので、詳しくレポートすることにする。長文ご容赦願いたい。


●レポート出力機能はPCIDSS等にも対応

AppScanは、PDFやMicrosoft Wordなど豊富なレポート機能を持つが、筆者は、デモテストの結果をもとに、重要度「高」の問題だけをピックアップして、レポートを出力してみた。レポートタイトルの変更や、自社のロゴをつけたりすること等ができる。

また、特定の業界標準のレポートや、PCIDSSのようなコンプライアンスレポートの出力もできる。PCIDSSフォーマットでは、PCIDSSの12要件の各項目毎にマッピングを行ったレポートが提出できる。

Microsoft Wordのレポート機能は、AppScanを使って診断を提供するような診断会社向けだと言えるだろう。

●まとめ:手動診断との棲み分けをどう図るか

手動の診断と、自動ツールとをどのように使い分けるかは、診断技術者にとって悩ましいポイントである。取材協力の日本IBM社によれば、AppScanにおいては、手作業のルーチンワークで検出できるような脆弱性ならば、ほぼAppScanでも検出できるため、手動診断の前に行う下診断として利用することを提案しているようだ。ツールを使うことで網羅的に診断することができるので、診断漏れの発生確率を大きく下げることができるため、安心を得ることもできるという。

手動診断と自動診断の比較として、例えばセッションIDの規則性など、人間でないとわからなさそうな脆弱性について日本IBM社に質問してみたが、パターンを見て脆弱なセッションIDを指摘する機能も含まれているそうだ。また、よくセッション周りが弱いと言われるということだが、実はセッション周りは相当検証が行われているそうである。

しかし、通常画面で入力した値が、何画面も遷移した後の管理画面でしか見ることができない場合などの予想が困難なケースは、AppScanは検知することができない。ツールには一長一短があり、要はどう組み合わせるか、ということになるのだろう。

筆者が考えた組み合わせは、先ほども挙げた「診断会社が手動テストの前に下診断として使用する」の他に「開発会社が、自社が持つ技量をカバーし、診断時間を短縮し、一定以上のセキュリティを担保する」などがありそうだ。

カギとなるのは、社内の、AppScanを運用できるスタッフの有無になるだろう。完全にアウトソースしている会社は難しい。しかし、運用をカバーできる体制があるなら、1〜2回程度の脆弱性診断を外注する金額で、AppScanのライセンスを購入することができるから、検討に値すると言えるだろう。(おわり)

●追記:他にも書き加えておきたい、AppScanの機能について

マルウェアテスト:IBM ISSの技術とノウハウを利用し、マルウェアのパターン検索、導かれる不正なサイトのリストを診断してくれる機能がAppScanには実装されている。開発中のアプリではなく、すでに外向けに公開されているWebアプリケーションがマルウェアなどに感染していないかどうかの診断に役に立つだろう

エクステンション:AppScanには、アドオンを作ったり、フリーで利用できる機能がある。アドオンのサイトがあり、フリーでインタフェースを公開している。PythonのスクリプトからAppScanを使える「Pyscan」などが有名



トレーニング:AppScanユーザー企業向けに、座学とハンズオンの1日程度のトレーニングが行われる他、最初の一回目の診断を日本IBM社のエンジニアがつきそいで実施してくれるサービスなどがある

Rational AppScan

(取材協力:日本アイ・ビー・エム株式会社/執筆:上野 宣)

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?

    オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?PR

  2. 不正アクセスで日産証券オンライントレードシステムに障害発生、決済注文に限り電話で対応

    不正アクセスで日産証券オンライントレードシステムに障害発生、決済注文に限り電話で対応

  3. 「ワクチン接種予約システム」に関する不具合、トヨクモ社の見解

    「ワクチン接種予約システム」に関する不具合、トヨクモ社の見解

  4. ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

    ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

  5. メールアカウント7件に不正アクセス、海外への迷惑メール送信の踏み台に(エコ・プロジェクト協同組合)

    メールアカウント7件に不正アクセス、海外への迷惑メール送信の踏み台に(エコ・プロジェクト協同組合)

  6. 廃棄扱いのはずの書類が郵送で届く、何者かが意図的に持ち出した可能性も

    廃棄扱いのはずの書類が郵送で届く、何者かが意図的に持ち出した可能性も

  7. NISC、具体例や悪用された脆弱性を示しランサムウェアによるサイバー攻撃について注意喚起

    NISC、具体例や悪用された脆弱性を示しランサムウェアによるサイバー攻撃について注意喚起

  8. ソフトバンク、10億円の支払い求める ~ 楽天モバイルへ営業秘密の利用停止と廃棄求め民事訴訟

    ソフトバンク、10億円の支払い求める ~ 楽天モバイルへ営業秘密の利用停止と廃棄求め民事訴訟

  9. もし我が社のAWSアカウントが、ペネトレーションテストツール「Endgame」で攻撃されたら ~ SHIFT SECURITY オンラインセミナー開催

    もし我が社のAWSアカウントが、ペネトレーションテストツール「Endgame」で攻撃されたら ~ SHIFT SECURITY オンラインセミナー開催PR

  10. セキュリティ機関を騙る振込詐欺が発生、実在する職員氏名を詐称

    セキュリティ機関を騙る振込詐欺が発生、実在する職員氏名を詐称

ランキングをもっと見る