HOMEIPAについて新着情報プレス発表 ソースコードセキュリティ検査ツール「iCodeChecker」の公開

本文を印刷する

IPAについて

プレス発表 ソースコードセキュリティ検査ツール「iCodeChecker」の公開

2012年5月8日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェアの脆弱(ぜいじゃく)性をソースコードで検査し、問題箇所や修正方法のレポートを出力するソースコードセキュリティ検査ツール「iCodeChecker(アイコードチェッカー)」を開発し、2012年5月8日からIPAのウェブサイトで公開しました。
URL: http://www.ipa.go.jp/security/vuln/iCodeChecker/index.html

概要

 近年、ソフトウェアの脆弱性を悪用する攻撃やそれによる被害が継続的に報告されており、ソフトウェアベンダーにおいては、脆弱性を極力低減させる安全なソフトウェア開発が求められています。その為には、「脆弱性を作り込まない」「脆弱性を確実に取除く」ことが重要になります。その一つの有力な手段に、ソースコード検査技術があります。一部の企業では本技術を開発工程に取り入れていますが、まだまだ広く普及しているとはいえません。
 このような背景を受けて、IPAでは、プログラムを作成する開発工程において、開発者が作成したソースコードに脆弱性を作り込んでいないか検査するツール「iCodeChecker(アイコードチェッカー)」を開発し、公開しました。
 本ツールは、脆弱性やソースコード検査技術を学習したい学生や開発者を対象に、利用者自身が作成したソースコード(C言語)を検査することできます。本ツールでは、ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威について解析したレポートを出力します。利用者は本ツールを通して、脆弱性を学習するとともに、ソースコードセキュリティ検査技術の有効的な活用方法を習得することができます。

 本ツールの主な特長は以下の通りです。

(1) 日本語で利用可能

 海外製でフリーウェアのソースコードセキュリティ検査ツールは存在しますが、本ツールは日本語で、かつ無料で利用できます。

(2) 作り込みやすく、危険度の高い脆弱性8種類を検出

 開発時に作り込みやすく、危険度の高い脆弱性8種類(別紙表1)について、本ツールで機械的に検出することができます。学習効果およびツールの有効性を実証することを目的としているため、検出可能な脆弱性を8種類に絞っていますが、任意のコード実行に至るなど、悪用された場合に影響が大きい脆弱性を数多く検出することが期待できます。

(3) 脆弱性の修正方法の学習も可能な検査結果レポートを出力

 脆弱性の検出箇所に加えて、脆弱性の脅威や対策方法等のレポートを出力します。利用者はレポートの内容を確認しながらソースコードを修正することで、脆弱性に対する理解を深め、安全なプログラミング手法を学習できます。

(4) 3種の配布形式を用意

 導入が容易なVM(*2)イメージ形式、既存の環境へ適用が容易なパッケージ形式、カスタマイズ可能なソースコード形式の3種類の配布形式を用意しています。例えば、VMイメージ形式を利用した場合、事前の環境準備の必要がなく、復元も容易なため、学生や新人開発者向けの教育に適しています。なお、3種の形式の配布は、北陸先端科学技術大学院大学(JAIST)(*3)の協力のもとに実施しています。

 IPAでは、本ツールをきっかけとして「ソースコードセキュリティ検査」の有効性を周知するとともに、本手法がソフトウェアの開発プロセスに取り入れられ、安全なソフトウェア開発が推進されることを期待しています。

脚注

(*1)ソフトウェアの設計図であるソースコードを機械的にチェックし、ソースコードに含まれる特定のパターンを抽出することで脆弱性を自動的に検出する手法。詳細は『ソースコードセキュリティ検査』に関するレポートを参照。
http://www.ipa.go.jp/about/technicalwatch/20111117.html

(*2)Virtual Machine:ソフトウェアによって仮想的に構築されたマシン環境。

(*3)http://www.jaist.ac.jp/index-j2.shtml

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 大森/甲斐根/亀山

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からの問い合わせ先

IPA 戦略企画部 広報グループ 横山/大海

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。