未踏IT人材発掘・育成事業：2022年度採択プロジェクト概要（赤松・大迫PJ）

1．担当PM

• 竹迫 良範（株式会社リクルート　データプロダクトユニット　ユニット長）

2．採択者氏名

• 赤松 宏紀（大阪大学大学院情報科学研究科 博士前期課程）
• 大迫 勇太郎（大阪大学大学院情報科学研究科 博士前期課程）

3．採択金額

• 2,736,000円

4．テーマ名

• 内部処理分析を基にしたWebアプリケーションのセキュリティSaaSの開発

5．関連Webサイト

• なし

6．申請テーマ概要

本プロジェクトでは、内部処理分析によって頻繁な脆弱性検査を代替する自動Webアプリケーション検査とバイパスに対応可能なWAF（Web Application Firewall）をSaaS（Software as a Service）として実現し、Webアプリケーションをより高度な仕組みでセキュアにするサービスを提供する。

本サービスではWebアプリケーションにプロファイラという内部処理を計測するソフトウェアをインストールする。本番環境では攻撃者から攻撃を受けた際にプロファイラで計測した内部処理データを分析し、異常な処理を見つけることで攻撃を検知・遮断し防御するWAFサービスを提供する。開発環境では脆弱性の自動検査手法の一つであるFuzzingを使用する。

FuzzingはFuzzと呼ばれる問題を引き起こしそうな様々なデータを送り込み、脆弱性に起因する挙動を監視するソフトウェア検査手法である。Fuzzingには各Fuzzに対してどのような内部処理が行われたかを計測・フィードバックすることで効率を高める方法があり、この手法を用いたプロファイラによって計測した内部処理データを基に、高効率な検査サービスを提供する。

そして、WAFと検査を同じサービスで実現することにより、WAFで検知した実際の攻撃を学習した検査ができる。攻撃者が目星をつけるような脆弱性が存在する確率が高い箇所を、実際の攻撃を学習したFuzzで検査するため、より精度の高い検査が可能となる。

また本プロジェクトでは、WAFで検知した攻撃・検査で見つかった脆弱性から「どこに脆弱性が多いか・どんな脆弱性があるか」を解析し対策方法も合わせて開発者に報告する、セキュリティ対策の管理機能サービスも開発し、導入するだけでWebアプリケーションの「防御・検査・対策」ができるサービスの実現を目指す。

7．採択理由

Webアプリケーションのセキュア開発現場では、開発プロセスの中でCIと連携してデプロイ前にコードの静的解析や自動の脆弱性検査を実施したりするが、本番環境の攻撃データを元に自動で事前検査するようなツールはまだ普及していない。

本提案では、本番環境にプロファイラを仕込んで、外部からの攻撃を受けたときのプログラムの関数呼び出しの履歴情報を元に異常を分析し、WAFの攻撃検知に応用している。そしてそれらのデータをCIに組み込む自動検査用のFuzzingツールに還元することによって、Fuzzingの精度向上と時間短縮が期待でき、理想的なセキュア開発サイクルを実現する。提案者が過去に開発したOSSのFuzzingツールshfzを一部元にして開発するが、様々なプログラミング言語に対応したプロファイラの開発や、WAFの検知・遮断機能、解析エンジンの精度向上、各種マネジメント機能の統合開発など数多くの新しい開発作業が見込まれる。

本番環境の攻撃データからの分析結果を開発現場のプロセスの中に還元することによって、既存のパターンマッチやルールベースでは通り抜けてしまう攻撃への早期対処ができる安全な未来の実現を期待したい。