［米国］
グーグル、Webアプリのセキュリティ検査ツールをオープンソースで公開

XSS攻撃などを許すコーディング上の問題を抽出

（2008年07月04日）

　米国Googleは7月1日、自社で使用しているセキュリティ・テスト用ツール「Ratproxy」をオープンソース・ソフトウェアとして公開した。

　Ratproxyは、Webアプリケーションをテスト対象とするセキュリティ・ツール。クロスサイト・スクリプティング（XSS）攻撃を許してしまうエラーや、キャッシングの問題を引き起こすエラーなど、さまざまなコーディング上の問題を検出する機能を備えている。

Ratproxyによるセキュリティ評価の例

　Ratproxyは、スタイルシートで使われるJavaScriptコードもチェックする。また、SSL（Secure Socket Layer）スキャンなどの機能もサポートしている。

　Googleは、Ratproxyをオープンソース・ライセンス「Apache License 2.0」の下で無料提供する。「われわれがこのツールをオープンソースとして公開することに決めたのは、情報セキュリティ・コミュニティへの価値ある貢献になると考えたからだ。このツールは、Webにまつわるセキュリティ問題へのコミュニティの理解を促すだろう」と、Googleのミカル・ザレウスキー（Michal Zalewski）氏は同社ブログに記している。

　Ratproxyは、Googleの開発者向けサイト「Google Code」からダウンロードできる。なお、Apache License 2.0の下でライセンスされたコードは、商用アプリケーションを含む派生ソフトウェアに組み込むことが可能だが、コードの由来を明記する必要がある。

　Ratproxyの現時点のバージョンは1.51（ベータ版）で、パッシブ型のモードで動作する。これは、攻撃をシミュレートする大量のトラフィックをツール実行時に生成しないようにするためだと、Zalewski氏は説明している。ちなみに、これに対してアクティブ型スキャナは、アプリケーション・パフォーマンスの問題を引き起こす場合がある。

　もっとも、パッシブ・モードで動作することには欠点もある。問題個所としてハイライト表示される領域の中に、セキュリティ上の欠陥の原因ではないものが含まれることだ。この点はZalewski氏も認めており、収集した情報の分析はセキュリティ専門家に任せるよう助言している。

　米国の標準化団体WASC（Web Application Security Consortium）による2006年の調査によると、調査対象の3万1,373サイトのうち、85.57％にXSS攻撃への脆弱性が、26.38％にSQLインジェクションへの脆弱性がそれぞれ見つかった。データ損失につながる問題についても、15.70％のサイトで指摘されている。

　こうしたなか、多くのセキュリティ・ベンダーは、強力なセキュリティ・ツールを求めるニーズへの対応に重点を置き始めた。また、それと同時に、大手IT企業がセキュリティ専業ベンダーを買収する動きも相次いでいる。

　IBMとHewlett-Packard（HP）は昨年、ともにセキュリティ専業ベンダーを買収した。IBMが買収したのは、Webアプリケーションの脆弱性スキャン、データ保護、コンプライアンス監査を手がける米国Watchfireだ。対するHPは、Webアプリケーションの脆弱性検出機能やコンプライアンス監査機能を提供していたソフトウェアの開発会社で、Watchfireと競合する米国SPI Dynamicsを手に入れた。ちなみに、HPがSPI Dynamics買収を明らかにしたのは、IBMによるWatchfire買収発表のわずか2週間後だった。

(Jeremy Kirk／IDG News Serviceロンドン支局)