• 株式会社ソフテック 協働： 独立行政法人産業技術総合研究所 高木浩光
  「第二回情報セキュリティ関連の調査・開発に関する公募」において採択。

政府は、e-Japan 重点計画に基づいて行政手続の電子化を進めており、その多くは、Webブラウザを活用し、インターネット経由でログインするシステムによってサービスされると予想される。一方、民間では、インターネットバンキングやネットショップ、ネットオークション、Webメール等で、既にこのようなシステムが多数実運用されている。

このように日常生活に深く関わるようになってきたWebシステムには、堅牢なセキュリティが求められる。しかし、現実には、アクセス制御機構の機能不全が原因の欠陥を持つシステムが多数存在する実態が指摘されている。このような欠陥が存在した場合、ログイン状態を第三者が横取りする「セッションハイジャック攻撃」を許すこととなり、その結果、個人情報の漏洩や、偽の申請、注文を発行されるといった被害が発生する危険性がある。

このようなアクセス制御機構の欠陥をなくすには、システムの受注者が納品前に欠陥がないか確認し、また、システムの発注者が納品時の検収作業で欠陥がないかを調査する必要がある。従来、このような確認作業は、セキュリティ監査を専門とする外部業者に委託し、十分な経験を積んだ専門技術者によって、手作業で行われてきた。

サーバーシステムの脆弱性を自動検査するシステムは、いくつか商用化されているが、アクセス制御機構の欠陥を検査するシステムは、これまでに存在しなかった。

本開発においては、ログイン機能を持つ Web アプリケーションを対象とし、そのアプリケーションのアクセス制御機構にセキュリティ上の脆弱性が潜在していないかを検知・検証するシステムの開発および、この検査システムの能力を確認するため、意図的にアクセス制御機構に欠陥を作りこんだ評価用デモ Web サイトの製作を目的とした。

本システムは、プロキシサーバーとして動作するシステムであり、利用者が自身のWebブラウザから対象となる Webアプリケーションにシステムからの指示に従いアクセスを行った結果に対する通信内容の分析を行うことで、適切なアクセス制御が実現されているかの検知・検証を行うものである。

システム概要

本システムは、ユーザに対してWebサイト上でのブラウザ操作に関する操作ガイドをウィンドウ表示する。

操作ガイド 画面内容

ユーザが実施したい検査レベルに応じて、検査コースをいくつか設定する。検査の進捗状況情報はユーザに対して視覚的に提供される。進捗状況表示はウィンドウ内において検査フェーズ単位で色づけされていき、コース内における現在の進捗状況を把握することが可能である。

検査進捗状況 画面内容

検査・検出を実施した分析結果の表示を行う。ここでは、Webサイトに関する情報、分析結果の内容、およびセッション追跡パラメタ値に関する検出内容についての表示を行う。

検査結果表示 画面内容

• アクセス制御機構の機能不全を検出・検証するシステム （103KB）

• 総括報告書 （196KB）