株式会社 日立システムアンドサービス
「Javaソースプログラムの脆弱性を摘出するセキュリティ検証サービスを開始
~「InspectPro」シリーズのラインアップ追加、セキュアなウェブアプリケーションの構築を実現へ~」
株式会社日立システムアンドサービス(本社:東京都港区、執行役社長:中村博行、以下、「日立システム」)は、Java言語ソースプログラムを対象とした、ウェブアプリケーションのセキュリティ脆弱性として上位を占めているクロスサイト・スクリプティング(※1)やSQLインジェクション(※2)などの検証を行うサービスを「InspectPro (インスペクトプロ)」シリーズのラインアップへ追加し、本日よりサービスを開始します。
独立行政法人 情報処理推進機構(以下IPA)の報告書「ソフトウェア等の脆弱性関連情報に関する届出状況[2006年第2四半期(4月~6月)]」によると、今四半期のソフトウェア製品の脆弱性届出件数は過去最高の84件を記録し、セキュリティ問題への対策が近年ますます重要になってきているといえます。脆弱性が報告されたソフトウェア製品のうちで最も大きな割合を占める製品種類は「ウェブアプリケーションソフト」であり、「任意のスクリプト実行」を防止できなかったことが最大の原因となっています。また、ウェブアプリケーションの脆弱性種類としては「クロスサイト・スクリプティング」が約4割、「SQLインジェクション」が約2割を占めており、「データの改ざん、消去」や「Cookie情報の漏洩」などの脅威が報告されています。
クロスサイト・スクリプティングやSQLインジェクションはソースプログラムの記述によっては防止できる脆弱性であり、任意のスクリプト実行防止などアタッカーの攻撃への対策を講じたセキュアなソースプログラムを作成することが、ウェブアプリケーションのセキュリティ対策に非常に重要であると言えます。しかし、セキュリティの問題箇所は機能不良ではないので通常の機能テストでは検出が難しく、コードレビュー等による全ソースプログラムの検証が必要であり、対策に膨大な時間と人員の投入が必要になります。
日立システムのInspectPro (インスペクトプロ) はソースプログラムの不良を摘出し、レポートするサービスです(2003年12月発売)。最大の特徴は独自の二段階検証であり、検証ソフトにより自動的に不良の可能性が高い部分を検出する一次解析と、一次解析結果の中から専門アナリストが過剰指摘を排除する二次解析を組み合わせて、システムダウンや情報漏洩などの重要障害につながる不良原因を的確にご報告いたします。C/C++、Java言語で作られたソースプログラムに対し、システムダウンや動作不正の原因箇所を摘出する「信頼性検証サービス」と、C/C++言語のソースプログラムに対し、セキュリティ上の問題箇所を摘出する「セキュリティ検証サービス」を提供しており、今回新たにJava言語対応のセキュリティ検証サービスを開始いたします。
Java言語対応セキュリティサービスで対象とする問題箇所は、クロスサイト・スクリプティング、SQLインジェクションに加え、HTTPレスポンス分割(※3)、ディレクトリトラバーサル(※4)というソースプログラムの記述により対策が可能な脆弱性を網羅しているため、指摘箇所を修正するだけで信頼性の高いウェブアプリケーション構築を実現いたします。解析ツールでソースプログラムを全パス組み合わせて網羅的に検証後、専門アナリストが真に修正が必要な問題箇所のみを詳細なレポートにてご報告するため、対策担当の方は修正が必要な箇所と修正内容の把握が容易に出来、短時間でソースプログラムへの脆弱性対策が可能になります。
また、新たに重要な脆弱性が報告された場合やお客様の個別のご要望に応じて、摘出対象とする脆弱性の追加も行っており、常に最新の情報に基づく最適な解析結果をご報告いたします。
日立システムでは、Java言語対応のセキュリティサービスを今後2年間で売上高5億円の販売を目標としております。
(※1)クロスサイト・スクリプティング
ユーザーが入力した文字をそのままブラウザで表示する掲示板のようなウェブサイトでは、画面の入力フォームにスクリプト(簡易的なプログラム)が入力された場合の対策を行わないと、アタッカーの標的サイトになってしまう場合があります。標的サイトになるとユーザーに悪質なスクリプトを送信するよう仕組まれ、ユーザー情報の流出など多大な被害を及ぼす可能性があります。
InspectProでは、ウェブブラウザから送信されたデータを元に動的に画面を組み立てるJavaプログラムで、スクリプトが埋め込まれた場合の対策がなされていない箇所を摘出します。
(※2)SQLインジェクション
ユーザーIDとパスワードの認証システムのような、データベースにアクセスするウェブサイトでは、通常はブラウザから入力された値を元にデータベースの検索を行います。これらの入力フォームに入力された値を元にそのままSQL文を組み立ててしまうと予期せぬSQL文の実行につながり、本来表示してはいけないデータの表示やデータの改ざん・消去などの脅威を引き起こす可能性があります。
InspectProでは、ウェブブラウザから送信された値を元にデータベースを検索するようなプログラムで、不正な値が入力された場合の対策がされていない箇所を摘出します。
(※3)HTTPレスポンス分割
ユーザーから送信されたデータをそのままHTTPヘッダ作成に利用するウェブサイトでは、複数の改行コードやHTMLタグを表す記号が入力された場合の対策を行わないと、アタッカーの標的サイトになってしまう場合があります。標的サイトになると、アタッカーが埋め込んだ偽のウェブ画面をユーザーに送信してしまう可能性があります。
InspectProでは、ユーザーから渡された値を元にHTTPレスポンスを作成するプログラムにおいて、複数の改行が渡された場合の対策がなされていない箇所を摘出します。
(※4)ディレクトリトラバーサル
入力された値を元にサーバー内のファイルを検索するようなウェブサイトでは、ファイル名入力フォームにパス表記やフォルダ名などが指定された場合、公開を想定していないフォルダやファイルへのアクセスを許可してしまい、情報流出やデータ改ざんなど多大な被害を及ぼす可能性があります。
InspectProでは、ファイル名を取得するプログラムにおいて、入力ファイル名の妥当性を検証していない箇所を摘出します。
● 日立システムについて ( (リンク ») )
日立システムは、金融・公共・製造・流通分野で信頼性の高い情報技術力を背景に全国規模でシステムインテグレーションサービスを展開しています。インターネット技術を活用したデータベースシステム・グループウェア・ERPをはじめ、経営情報の可視化をはかるEPMや先進的なXMLを活用したシステムインテグレーション事業に積極的に取り組んでいます。
● InspectProについて( (リンク ») )
● お問合せ先
[製品に関するお問合せ先]
株式会社日立システムアンドサービス オープンソリューション営業部
担当:寺田 忠幸
TEL:03-6718-5819、E-mail:inspectpro_os_dm@hitachi-system.co.jp
[報道に関するお問合せ先]
株式会社日立システムアンドサービス 社長室広報グループ
担当:廣納(ひろのう)、松野(まつの)
TEL:03-6718-5750、E-mail:press@hitachi-system.co.jp
■ 商標名称等に関する表示
・InspectProは、株式会社日立システムアンドサービスの登録商標です。
・その他本文中の会社名、商品名は、各社の商標及び登録商標です。
以 上
お問い合わせにつきましては発表元企業までお願いいたします。