HOMEIPAについて新着情報プレス発表 情報セキュリティ人材育成教材として活用可能な「脆弱性体験学習ツール AppGoat ウェブアプリケーション学習版」を機能強化

本文を印刷する

IPAについて

プレス発表 情報セキュリティ人材育成教材として活用可能な「脆弱性体験学習ツール AppGoat ウェブアプリケーション学習版」を機能強化

実践的に脆弱性の検出や修正作業が行える演習機能を追加

2014年3月10日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「脆弱性体験学習ツール AppGoatウェブアプリケーション学習版」に、新たに5タイプの脆弱性と、学習テーマ13件、およびより実践的に脆弱性を発見するための演習環境等の追加行い、2014年3月10日からIPAのウェブサイトで公開しました。
 URL: http://www.ipa.go.jp/security/vuln/appgoat/index.html

 2013年、日本国内のウェブサイトで、ウェブサイトの脆弱性悪用が主因と思われる改ざんや情報流出事件が多数発生しました。IPAとJPCERTコーディネーションセンター(*1)で運営している脆弱性届出制度(*2)におけるウェブサイトの脆弱性報告は、2012年は671件でしたが2013年には883件と増えており、脆弱性を内包したまま運営されているウェブサイトが、国内に多数存在することがうかがえます。

 「脆弱性体験学習ツール AppGoat」は、IPAが提供する脆弱性を作りこまない手法を実践的に習得するツールで、2011年11月から公開しており、「ウェブアプリケーション学習版」と「デスクトップアプリケーション版」の2種類があります。
 今回の「ウェブアプリケーション学習版」への機能強化は、国内ウェブサイトの現状や、下記のような利用者のニーズを踏まえ実施したものです。


  1. 多数報告されている脆弱性5タイプとそれに対応した13の学習テーマを新たに追加(詳細:別紙 学習テーマ一覧 参照)

     届出制度において多数報告されているにもかかわらず、従来未対応だった5タイプの脆弱性を追加しました。それらは「OSコマンド・インジェクション」、「HTTPヘッダ・インジェクション」、「セッション管理の不備」などで、ウェブアプリケーションのセキュア開発においてその対策は押さえておくべき基礎的なものです。この5タイプの脆弱性に計13の学習テーマが新たに追加されています。
     これにより、「ウェブアプリケーション学習版」は合計9タイプの脆弱性に対し28の学習テーマが揃いました。脆弱性の仕組みや対策を理解し、作りこみやすい脆弱性タイプを網羅的に学習することが可能です。
     
  2. 脆弱性対策セミナーの受講者から寄せられる要望の多かった機能を新たに追加(*3)

    (1)脆弱性を自ら修正できる演習環境の追加 (詳細:別紙 脆弱性修正演習イメージ 参照)

     「仮に脆弱性の仕組みや修正方法を机上で理解しても、具体的なソースコードに対する修正方法が分からず、対策が行えない」という受講者からの要望を踏まえ、脆弱性を修正できる演習環境を追加しました。脆弱性の発見から修正までの一連の学習が可能になります。


    (2)パターン化された方法に頼らない、より実践的に脆弱性を発見するための演習環境の追加 (詳細:別紙 脆弱性検査学習用の演習イメージ 参照)

     従来の「ウェブアプリケーション学習版」は「○○という脆弱性の発見方法は△△だ」といった一対の関係で検出方法を学ぶものでしたが、現実の検出では、どこにどのような脆弱性が潜んでいるのかを探索する必要があります。そこで複数の脆弱性を埋め込んだ検査専用の演習環境を追加しました。  

  3.  また、「ウェブアプリケーション学習版」はその活用を通じて、実際のウェブアプリケーション開発における課題の認識に利用できます。
     例えば、ソースコードの記述に問題があるとの認識に至った場合には、修正のため「IPAテクニカルウォッチ:ウェブサイトにおける脆弱性検査手法の紹介(ソースコード検査編) (*4)」を教本とすることで、より効率的な問題点の発見につなげることができます。
     また、検出方法に課題がある場合には、「IPAテクニカルウォッチ:ウェブサイトにおける脆弱性検査手法の紹介(*5)」を教本とし、ツールを使った動的な脆弱性検査手法を更に学習することができます。

     IPAでは、本ツールが企業や様々な組織で活用され、セキュリティ対策の施された安全なウェブサイトが運営されることを願うと共に、学術・教育機関における学習教材として広く活用され、情報セキュリティ人材育成の一助となるよう、今後とも普及・啓発を推進していきます。

    脚注

    (*1)正式名称は、一般社団法人 JPCERT コーディネーションセンター。コンピュータセキュリティインシデントについて、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行っている機関。
    (*2)経済産業省の告示に基づき、2004年から運営されている公的な脆弱性の届出制度。
    https://www.ipa.go.jp/security/vuln/report/index.html
    (*3)IPAが2013年に3回開催したAppGoatハンズオンセミナーの受講者延べ90人から寄せられたツールへの機能要望30件のうち、1位「学習テーマの追加」19件、2位「脆弱性修正演習の追加」8件、3位「脆弱性検査演習の追加」3件の要望を反映した。
    (*4)http://www.ipa.go.jp/security/technicalwatch/20140306.html
    (*5)http://www.ipa.go.jp/about/technicalwatch/20131212.html

    プレスリリースのダウンロード

    本件に関するお問い合わせ先

    IPA 技術本部 セキュリティセンター 大森/亀山

    Tel: 03-5978-7527  Fax: 03-5978-7518  E-mail:電話番号:03-5978-7527までお問い合わせください。

    報道関係からのお問い合わせ先

    IPA 戦略企画部 広報グループ 横山/白石

    Tel: 03-5978-7503  Fax: 03-5978-7510  E-mail: