IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
狙われる前に先手を 情報漏えい防止に「動的診断ツール」の理由
コンテンツ情報
| 公開日 | 2017/07/06 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 3ページ | ファイルサイズ | 417KB | ||
要約
Webアプリケーションのセキュリティ対策が不十分で脆弱性が突かれ、顧客情報の漏えいやWebサイトの改ざんなど、深刻な経営被害につながった例は多い。そのための防御策として、Webアプリケーションファイアウォールという「壁」で囲む方法などが取られている。
しかし脆弱性は残ったままであり、根本的解決にはなっていない。やはりコーディングを“健全”にすべきなのだ。幸いなことに、これはコスト効果も生む。コーディング段階で修正できれば、修正コストはリリーステストと比べて10分の1で、本番直前で発覚するより100分の1に抑えられるという調査報告もある。
具体的にWebアプリケーションのセキュリティ診断は、HTTPメッセージを送り込んで問題を確認する動的セキュリティ診断と、ビルド段階でデータフローを解析して問題を検出する静的セキュリティ診断がある。それらをサービス提供する事業者もあるが、ここでは動的な診断ツールを勧める。その理由と、実施方法を明らかにしよう。
しかし脆弱性は残ったままであり、根本的解決にはなっていない。やはりコーディングを“健全”にすべきなのだ。幸いなことに、これはコスト効果も生む。コーディング段階で修正できれば、修正コストはリリーステストと比べて10分の1で、本番直前で発覚するより100分の1に抑えられるという調査報告もある。
具体的にWebアプリケーションのセキュリティ診断は、HTTPメッセージを送り込んで問題を確認する動的セキュリティ診断と、ビルド段階でデータフローを解析して問題を検出する静的セキュリティ診断がある。それらをサービス提供する事業者もあるが、ここでは動的な診断ツールを勧める。その理由と、実施方法を明らかにしよう。