［国内］
ウォッチファイア、Webアプリ脆弱性検査ソフトの新版を発表

（2007年03月15日）

　ウォッチファイア・ジャパンは3月15日、Webアプリケーション脆弱性検査ソフトウェア「AppScan 7」を発表した。3月30より出荷開始し、年間保守およびアップグレードを含めたシングル・サーバ版の年間ライセンス価格は95万円からとなっている。

　AppScan 7は、Webアプリケーションの脆弱性を見つけ出す調査、問題点の指摘と改善策の提示、脆弱性リポートの作成といった一連の作業の自動化が可能なソフトウェア。GUI画面からの操作で検査対象となるWebアプリケーションを指定することで、一連の脆弱性検査作業を自動実行することができる。

　ユーザーID／パスワードによる認証が必要なアプリケーションについては、あらかじめユーザーID／パスワードを設定しておくことで検査の自動実行が可能になる。また、脆弱性リポートは、PDF、HTML、リッチテキスト、テキストといった形式で生成することができる。

「AppScan 7」の画面。左側にWebアプリケーションの構造、右側上にセキュリティ問題の一覧、右側下に問題点の詳細とその解決策の提案が表示される

　バージョン7では、初めて同製品を利用するユーザーでもすぐに使えるように配慮したウィザード画面など、ユーザー・インタフェースの改善が行われた。また、テスト・ポリシーの編集が可能になるなど、カスタマイズ性が向上した。

　加えて、Webサービスの検査に対応し、ユーザーが操作するアプリケーションだけではなく、他のアプリケーションと連携動作するアプリケーションの脆弱性検査が可能になった。このほか、FlashやJavaScript、Ajaxを利用するアプリケーションの検査にも対応した。

米国ウォッチファイア社長兼 CEO ピーター・マッケイ氏

　発表に際し、来日した米国ウォッチファイア社長兼CEOのピーター・マッケイ氏は、「多くの企業がWebアプリケーションの脆弱性検査のために、アウトソーシング・サービスを利用している。しかし、この場合は手作業で行うことがほとんどであることから、コストも時間もかかる。当社は、この作業を自動化することでコストと時間を大幅に削減する」と、AppScan 7のねらいを語った。

　また、マッケイ氏は、「すでにファイアウォールをはじめとするセキュリティ製品を導入していることで、セキュリティを確保できていると考えている企業が多い。しかし、Webアプリケーションをねらった攻撃の75％がアプリケーション・レイヤで行われているという調査結果が示しているとおり、従来のセキュリティ対策では十分ではない」と、Webアプリケーション・セキュリティの重要性が見落とされている現状を指摘した。

　そのため、同社では、「テクノロジーだけではなく、Webアプリケーション・セキュリティに関するCBT（Computer Based Training）を提供するなど啓蒙活動にも力を入れている」（マッケイ氏）という。このCBTには、AppScanの操作方法だけではなく、セキュリティに関するより汎用的な知識を得るためのトレーニングが含まれており、すでに米国では約100社の企業が利用している。国内における提供時期は未定だが、現在ローカライズを進めているという。

(大川泰／Computerworld)