製品資料
日本アイ・ビー・エム株式会社
狙われる前に先手を 情報漏えい防止に「動的診断ツール」の理由
Webアプリケーションの脆弱性は、狙われれば即座に深刻な事態を招く恐れがある。そのために周りの防御を固めるのも一策だが、それでも防げない攻撃はあり根本的な解決とは言えない。ここではアプリケーションの脆弱性診断、特に動的診断ツールを使うべき理由を示す。
コンテンツ情報
公開日 |
2017/07/06 |
フォーマット |
PDF |
種類 |
製品資料 |
ページ数・視聴時間 |
3ページ |
ファイルサイズ |
417KB
|
要約
Webアプリケーションのセキュリティ対策が不十分で脆弱性が突かれ、顧客情報の漏えいやWebサイトの改ざんなど、深刻な経営被害につながった例は多い。そのための防御策として、Webアプリケーションファイアウォールという「壁」で囲む方法などが取られている。
しかし脆弱性は残ったままであり、根本的解決にはなっていない。やはりコーディングを“健全”にすべきなのだ。幸いなことに、これはコスト効果も生む。コーディング段階で修正できれば、修正コストはリリーステストと比べて10分の1で、本番直前で発覚するより100分の1に抑えられるという調査報告もある。
具体的にWebアプリケーションのセキュリティ診断は、HTTPメッセージを送り込んで問題を確認する動的セキュリティ診断と、ビルド段階でデータフローを解析して問題を検出する静的セキュリティ診断がある。それらをサービス提供する事業者もあるが、ここでは動的な診断ツールを勧める。その理由と、実施方法を明らかにしよう。