情報セキュリティ

脆弱性対策:ファジング

最終更新日:2024年8月7日

独立行政法人情報処理推進機構
セキュリティセンター

製品出荷前に未知の脆弱性をみつけよう

このウェブページでは、「脆弱性検出の普及活動」脚注1で公開した「ファジング活用の手引き」等の「ファジング」脚注2に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。

ファジングコンテンツ一覧

  1. 「ファジング活用の手引き」
  2. 別冊「ファジング実践資料」
  3. 別冊「ファジング実践資料(UPnP編)」
  4. 別冊「ファジング実践資料(テストデータ編)」
  5. 別冊「ファジング実践資料(AFL編)」
  6. テクニカルウォッチ 製品の品質を確保する「セキュリティテスト」に関するレポート
  7. スマートテレビの脆弱性検出に関するレポート
  8. JPEGテスト支援ツール「iFuzzMaker」
  9. ファジングに関するFAQ

別冊「ファジング実践資料」の内容

ファジング活用の手引き

ファジング活用の手引き

(2024年8月7日更新)

「ファジング活用の手引き」は 6 つの章と 1 つの付録で構成しています。

1. 本書の3 つのポイント:効果・実績・活用
  • ファジングを活用すると、どんな効果を得られるか。
2. ファジングとは
  • ファジングとは何か。
3. 開発ライフサイクルにおけるファジングの活用
  • ソフトウェア製品の開発ライフサイクルにおいて、どの工程でファジングを活用できるのか。
4. IPA におけるファジング実績
  • IPA がファジングを実践した結果、どんな実績が得られたか。
5. ファジングの実践
  • 実際にどのようにファジングを実践するか。
  • IPA はどのようにファジングを実践したか。
6. ファジング活用に関わる動向
  • 企業ではどのようにファジングを活用しているか。
  • 標準化においてファジングはどう位置付けられているか。
付録A ファジングツールの紹介
  • どのようなファジングツールがあるのか。

別冊「ファジング実践資料」の内容

ファジング実践資料

ファジング実践資料

(2017年3月3日更新)

「ファジング実践資料」は 3 つの使い方を想定しています。

  1. ファジングを試してみたい
  2. ファジングで使われるテストパターンがどんなものか知りたい
  3. ファジングツールを使わずにファジング結果を再現したい

別冊「ファジング実践資料(UPnP編)」の内容

ファジング実践資料(UPnP編)

ファジング実践資料(UPnP編)

(2013年3月18日公開)

「ファジング実践資料(UPnP編)」は 3 つの使い方を想定しています。

  1. UPnP機能に対してファジングを実践したい
  2. UPnP機能に対するファジングの考え方を知りたい
  3. UPnPの仕組みを知りたい

別冊「ファジング実践資料(テストデータ編)」の内容

ファジング実践資料(テストデータ編)

ファジング実践資料(テストデータ編)

(2016年3月31日更新)

「ファジング実践資料(テストデータ編)」は 3 つの使い方を想定しています。

  1. ファジングで使われるテストデータの考え方を知りたい
  2. ファジングで使われるテストデータの例を具体的に知りたい
  3. ファジングのテストデータに関する知識の活用方法を知りたい

別冊「ファジング実践資料(AFL編)」の内容

ファジング実践資料(AFL編)

ファジング実践資料(AFL編)

(2020年3月27日更新)

「ファジング実践資料(AFL編)」は 2 つの使い方を想定しています。

  1. ファジングツール「AFL」を試してみたい
  2. ファジングで使われるテストパターンがどんなものか知りたい

テクニカルウォッチ 製品の品質を確保する「セキュリティテスト」に関するレポート

スマートテレビの脆弱性検出に関するレポート

JPEGテスト支援ツール「iFuzzMaker」

(2023年8月4日更新)

JPEGテスト支援ツール「iFuzzMaker」につきましては、
動作環境等が古くなっていることを考慮しまして、公開停止とさせて頂きました。

ファジングに関するFAQ

(2014年6月16日公開)

参考情報

  • 「ファジング活用の手引き」を公開 (2012年3月27日公開)
  • 「製品の品質を確保する『セキュリティテスト』に関するレポート」を公開 (2012年9月20日公開)
  • 「スマートテレビの脆弱性検出に関するレポート」を公開 (2013年3月18日公開)

謝辞

本資料の作成には次の方々にもご協力いただきました。

  • 株式会社東陽テクニカ
  • 西日本電信電話株式会社
  • 日本コーネット・テクノロジー株式会社
  • ノックス株式会社
  • 株式会社フォティーンフォティ技術研究所
  • 株式会社アイユート

脚注

  1. 脚注1
    ソフトウェア製品における脆弱性の減少を目指す「脆弱性検出の普及活動」を開始
  2. 脚注2
    ソフトウェア製品などに何万種類もの問題を起こしそうなデータ(例:極端に長い文字列)を送り込み、ソフトウェア製品の動作状態(例:製品が異常終了する)から脆弱性を発見する技術です。

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター

  • E-mail

    isec-fuzz-inqアットマークipa.go.jp

更新履歴

  • 2024年8月7日

    「ファジング活用の手引き」第1版第7刷 公開。

  • 2023年8月9日

    JPEG テスト支援ツール「iFuzzMaker」公開停止。

  • 2020年3月27日

    別冊「ファジング実践資料(AFL編)」公開。

  • 2018年7月17日

    URL の更新

  • 2018年7月13日

    「ファジング活用の手引き」第1版第6刷 公開。

  • 2017年3月3日

    「ファジング活用の手引き」第1版第5刷 公開。「ファジング実践資料」第2版 公開。

  • 2016年3月31日

    「ファジング活用の手引き」第1版第4刷 公開。「ファジング実践資料」第1版第3刷 公開。「ファジング実践資料(テストデータ編)」第1版第2刷 公開。

  • 2014年6月16日

    「ファジングFAQ」ページ公開。

  • 2013年11月7日

    別冊「ファジング実践資料(テストデータ編)」公開。
    JPEG テスト支援ツール「iFuzzMaker」追記。

  • 2013年3月18日

    「スマートテレビの脆弱性検出に関するレポート」 公開。