 |
|
政府のe-Japan 重点計画による電子政府や電子自治体の推進に関連して、行政機関のみならず企業においてもプライバシーや情報漏洩事件など各種犯罪防止のための対策に関心が高まっています。
最近のインシデント事例(WEBアプリケーションの脆弱性)
【クロスサイトスクリプティング】
・決済.comパーソナルがサービスのセキュリティを強化 (2003.1.6)
・(財)ポスタルサービスセンター運営の「ふるさと便り」で個人情報漏洩の危機 (2002.10.7)
【パラメータ改竄】
・「ラグナロクオンライン」に個人情報流出につながる脆弱性(2002.12.4)
・リクルート「イサイズじゃらん」で個人情報漏洩(2002.10.15)
事件簿 |
|
 |
|
|
|
 |
 |
(Sanctum, Inc. により実施されたセキュリティ監査サービスの結果より) |
|
|
 |
|
WSAOのWebアプリケーション診断サービスは、「App Scan」します。「App Scan」は、別表のとおりWebアプリケーションの悪用10パターンのすべてに対応しています。診断はリスクを3段階で評価します【high,middle,low】 |
|
|
|
|
|
|
強化された
OS |
シグネチャー
ベース |
アクセス
コントロール |
ネットワーク
IDS |
APPSHILD |
ネットワーク
スキャナー |
APPSCAN |
バッファ
オーバーフロー |
● |
|
|
|
● |
|
● |
| coolieの濫用 |
|
|
|
|
● |
|
● |
クロスサイト
スクリプティング |
|
|
|
|
● |
|
● |
hiddenタグの
不正操作 |
|
|
|
|
● |
|
● |
| ステルコマンド |
|
|
|
|
● |
|
● |
サードパーティー
製品の設定ミス |
● |
● |
|
● |
● |
● |
● |
| 既知の脆弱性 |
● |
● |
|
● |
● |
● |
● |
| パラメータの改ざん |
|
|
|
|
● |
|
● |
バックドアと
デバッグオプション |
|
|
|
|
● |
|
● |
| 強制ブラウジング |
|
|
● |
|
● |
|
● |
|
| Web アプリケーションの脆弱性評価 |
・ハッカーの視点でのスキャン
・内部コードのセキュリティ ホール検知
・自社アプリケーションの脆弱性、設定ミスや既知のバグを検知 |
|
| エキスパート システムによる専門的な助言 |
・脆弱性の解決方法の助言
・脆弱性解決のための最新のパッチ情報の提供 |
|
| 利点 |
・大幅なテスト時間の短縮
・アプリケーションの品質の改善
・人材教育 |
|
    |
|
