HOME >> 情報セキュリティ >> 事業概要 >> 記事

アクセス制御機構の機能不全を検出・検証するシステム

最終更新日 2003年5月26日

実施者

背景

政府は、e-Japan 重点計画に基づいて行政手続の電子化を進めており、その多くは、Webブラウザを活用し、インターネット経由でログインするシステムによってサービスされると予想される。一方、民間では、インターネットバンキングやネットショップ、ネットオークション、Webメール等で、既にこのようなシステムが多数実運用されている。

このように日常生活に深く関わるようになってきたWebシステムには、堅牢なセキュリティが求められる。しかし、現実には、アクセス制御機構の機能不全が原因の欠陥を持つシステムが多数存在する実態が指摘されている。このような欠陥が存在した場合、ログイン状態を第三者が横取りする「セッションハイジャック攻撃」を許すこととなり、その結果、個人情報の漏洩や、偽の申請、注文を発行されるといった被害が発生する危険性がある。

このようなアクセス制御機構の欠陥をなくすには、システムの受注者が納品前に欠陥がないか確認し、また、システムの発注者が納品時の検収作業で欠陥がないかを調査する必要がある。従来、このような確認作業は、セキュリティ監査を専門とする外部業者に委託し、十分な経験を積んだ専門技術者によって、手作業で行われてきた。

サーバーシステムの脆弱性を自動検査するシステムは、いくつか商用化されているが、アクセス制御機構の欠陥を検査するシステムは、これまでに存在しなかった。

目的

本開発においては、ログイン機能を持つ Web アプリケーションを対象とし、そのアプリケーションのアクセス制御機構にセキュリティ上の脆弱性が潜在していないかを検知・検証するシステムの開発および、この検査システムの能力を確認するため、意図的にアクセス制御機構に欠陥を作りこんだ評価用デモ Web サイトの製作を目的とした。

概要

本システムは、プロキシサーバーとして動作するシステムであり、利用者が自身のWebブラウザから対象となる Webアプリケーションにシステムからの指示に従いアクセスを行った結果に対する通信内容の分析を行うことで、適切なアクセス制御が実現されているかの検知・検証を行うものである。

図はアクセス制御機構の機能不全を検出・検証するシステムの概要を表している。
システム概要

本システムは、ユーザに対してWebサイト上でのブラウザ操作に関する操作ガイドをウィンドウ表示する。

図はWebAppAuditorのガイドウィンドウのログインウィンドウを表している。
操作ガイド 画面内容

ユーザが実施したい検査レベルに応じて、検査コースをいくつか設定する。検査の進捗状況情報はユーザに対して視覚的に提供される。進捗状況表示はウィンドウ内において検査フェーズ単位で色づけされていき、コース内における現在の進捗状況を把握することが可能である。

図はWebAppAuditorの進行状況表示ウィンドウを表している。
検査進捗状況 画面内容

検査・検出を実施した分析結果の表示を行う。ここでは、Webサイトに関する情報、分析結果の内容、およびセッション追跡パラメタ値に関する検出内容についての表示を行う。

図はWebAppAuditorの検査結果表示ウィンドウを表している。
検査結果表示 画面内容

プレゼンテーション

報告書