サーバに対するセキュリティテストを効率的かつ効果的に実行するためのツールと設計思想を紹介します。
昨今、セキュリティが話題になっていることもあり、サーバの新規構築時などにセキュリティテストの実施が強く求められる傾向があります。しかし、費用的な都合などから、自前でセキュリティテストを行う機会も増えているかと思います。このセキュリティテストで利用するセキュリティテスティングツールは数多く存在しますが、多くのツールでは単純なパターンマッチングが採用されています。パターンマッチングでは、例えば、「/test」(https://www.example.com/test)といったよく使われるwebコンテンツに対しては有効な手法であり、自動的にテスト実行されます。
しかし、「/gjoan」(https://www.example.com/gjoan)のようにランダムでシステム特有なものには対応が難しく、適切にテスト実行されるようツールをチューニングする必要が出てきます。また、システム構成の理解無くテスト実行することは、無駄なシグネチャ(検査項目)を実行することにもなり、ツール実行に多くの時間を要することが多いです。これは、例えば、テスト対象においてwebサービスが稼働している場合、webサービスに関する全てのシグネチャが実行されるためです。テスト対象でApacheが稼働している場合には、これを理解し、Apacheに関連するシグネチャを中心に実行することで時間の短縮をすることが望ましいです。
上記のように、システム特有の脆弱性を的確かつ効率的に炙り出すためには、ツールのチューニングが不可欠です。今回は、このようなチューニングをせずとも機械学習などを用いて、対象システムの構成を理解し、効率的かつ効果的にシグネチャを実行させるツールと設計思想を紹介します。
高江洲 勲 (三井物産セキュアディレクション株式会社)
桝屋 雅文 (三井物産セキュアディレクション株式会社)
工藤 朋之 (三井物産セキュアディレクション株式会社)
米山 俊嗣 (三井物産セキュアディレクション株式会社)
