Shoeisha Technology Media

CodeZine(コードジン)

特集ページ一覧

OWASP ZAPで開発中にセキュリティ診断!

OWASPでビルトイン・セキュリティ 第6回

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2016/06/30 14:00

 ウェブアプリケーションのセキュリティ対策を考える上で、リリース直前ではなく、開発中の早期の段階からセキュリティ診断を行い、すぐに脆弱性を修正するというサイクルを繰り返すことが重要です。本記事では、その実践に役立つオープンソースのセキュリティ脆弱性検査ツール「OWASP Zed Attack Proxy(以下OWASP ZAP)」のインストール方法と、主要な機能を紹介します。

目次

はじめに

 アジャイルやDevOpsといった開発・リリース手法が知られるようになってきました。ウェブアプリケーションのリリーススピードを高めるために役立つからでしょう。また、ビジネスにおいて後れを取らないようにする目的においても期待されているようです。

 しかし、そのような中でも、情報処理推進機構(IPA)が公開した資料によると、ウェブアプリケーションに対する攻撃が近年増加の傾向をたどっています。現実の開発現場では、リリース直前になって初めてセキュリティ診断を実施するケースが多いと思われます。それがいま一つうまくいっていないのはなぜでしょうか。リリース直前の段階でのセキュリティ診断によって検出された脆弱性には、すぐに修正できるものもありますが、中には要件定義や基本設計工程までさかのぼって検討を行わなければ解決できない問題もあります。

 つまり、セキュリティテストをもっと早い段階で行うことは、この手戻りによる問題を軽減し、リリーススピードをある程度確保することにつながります。ウェブアプリケーションの開発中にセキュリティ診断を実施し、検出された脆弱性をすぐに修正する、というサイクルを繰り返すというわけです。これは、ソフトウェア開発ライフサイクル(SDL)、セキュア開発ライフサイクル(SDLC)においてとても重要なポイントです。

 さて、開発者にとってセキュリティ診断は、それほどなじみのあることではないことでしょう。例えば、SQLインジェクションといった脆弱性の名前は知っているが、具体的にその仕組みや、問題となるコードを発見する方法については分からないかもしれません。また、セキュリティ診断ツールにも苦手意識があるかもしれません。使い方を覚えるのに掛かる時間、ツールを購入する費用といった懸念があり、なかなか活用に踏み込めないという現状もあろうかと思います。

 そこで本記事では、開発者にとってフレンドリなセキュリティ脆弱性検査ツールである、OWASP Zed Attack Proxy(以下OWASP ZAP)を紹介します。これはオープンソースライセンスで公開されているため、無料で使うことができます。まず、OWASP ZAPのインストール、次いで主要な機能をご紹介します。次回以降の記事で、診断の際のテクニックや、よりトリッキーな活用についても紹介していければと考えています。

1. OWASP ZAPとは

 OWASP ZAP(オワスプ・ザップ)とは、OWASP Zed Attack Proxy Projectが開発・メンテナンスしているオープンソース(Apache 2 License)のセキュリティ診断ツールです。

 表1に示すとおり、OWASP ZAPの機能を用いてセキュリティ診断を実施し、脆弱性を検出、修正することにより、アプリケーションのセキュリティを向上させることができます。

表1 OWASP ZAP機能概要
機能名 セキュリティ診断での用途
プロキシ ブラウザとウェブアプリケーション間のHTTP通信内容を保存
セキュリティ診断用文字列を送信した場合のレスポンスデータを目視で確認
スパイダー ウェブアプリケーション全体の情報を収集
公開すべきではないファイルやディレクトリの有無を確認
静的/動的スキャン さまざまな脆弱性を自動的に検出
再送信・Fuzzer 静的/動的スキャンの定型的な診断手法では検出が難しい脆弱性を手動で検出
アドオン・Script ウェブアプリケーション固有の機能に対応した診断ツールの作成
ZAP API スパイダーやスキャンといった、さまざまな機能を外部から操作して診断作業全体を自動化

 本記事では、OWASP ZAPの機能のうち、基本的なセキュリティ診断を実施する際に利用する「プロキシ」および「動的スキャン」について解説します。


  • LINEで送る
  • このエントリーをはてなブックマークに追加

著者プロフィール

  • 松本 隆則(OWASP Japan)(マツモト タカノリ)

    OWASP Japan Promotion Team 所属。オープン系システム開発とセキュリティ診断の経験を活かして、2014年8月に立ち上げた「脆弱性診断研究会」で開催しているハンズオンセミナーにより、システム開発に携わるすべての人向けにセキュリティ診断の考え方と手法を啓蒙中。

バックナンバー

連載:OWASPでビルトイン・セキュリティ

もっと読む

All contents copyright © 2005-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5