脆弱性検査ツール(ぜいじゃくせいけんさツール、Vulnerability Scannerを略してVSとも呼ばれる)とは、コンピュータセキュリティ上で、様々な侵入に用いられる攻撃手段を用いて、コンピュータの安全性を試すためのプログラム群である。大抵の場合はパッケージ化され、製品や試作ソフトウェアの評価に用いられている。

概要

編集

これらのプログラムは、様々な侵入手段に対する防御力を評価するため、幾つかの侵入用ツールがセットになっている場合が多いため、一連のプログラム群が一つにまとめられ、連続して動作するように設計されている。その用途もあり、一般的なツールソフトウェアとは異なり、GUIなどの操作しやすい画面がついていたりする訳ではなく、設定もコマンド入力や設定ファイルの編集といったレベルで行う物が大半であった。現在では、一般的な開発者レベルのスキルを持つ人でも動作させることが出来るようになった。

これらは様々なセキュリティ団体や利用している企業自身の手によって製作された物が、コンピュータネットワーク構築業務を行う企業や、サーバ製品・通信関連ソフトウェア等のメーカーに利用されている。特にサーバ製品を販売しているメーカーは、自社製品の安全性を評価するため、セキュリティ団体が公表しているオープンソースのソフトウェアに加え、自社内で最新のセキュリティ情報を元に侵入用のプログラムを自ら製作、利用している。

これらのツールには破壊的な活動をする物は無いが、最新の侵入手段を採用している事もあり、「の攻防」は常に熾烈を極めるが、この評価には大変な時間を要するため、一部のメーカーでは、余り厳密に検査を行わない事もある。しかしそのような評価の甘い製品が侵入されれば、ユーザーの信用問題にも発展しかねないため、多くのメーカーでは専属の評価チームを擁して、製品評価に当たっている。

脆弱性検査ツールには、破壊型と非破壊型のツールがあるが脆弱性検査ツールは見つけることを目的としているため擬似攻撃を行う非破壊型のツールが殆どであり、実際に破壊行為を行うクラッキングツールとの大きな違いと言える。しかし、攻撃を行うことなく脆弱性を見つけ出す事は難しく、脆弱性検査ツールでは誤検知、未検知を少なくし効率的に検査を行うための様々な工夫が凝らされている。

脆弱性検査ツールは、脆弱性を見つける機能、脆弱性とその対策方法を報告する機能の2つの機能を有しているが、海外製品が多いためツールの日本語には改善の余地があるものが多い。しかしツールを利用することで、セキュリティ対策費用を抑え一定レベル以上のセキュリティ対策を行うことができる。また、将来のセキュリティリスクや事故を未然に防ぐために、商用サイトの殆どではサイトの公開前に検査を行うことが一般的である。

脆弱性検査ツールの種類

編集

Webアプリケーション脆弱性検査ツール

編集

Webアプリケーションの脆弱性を検出することを主にしたツール。Open Web Application Security Project OWASP TOP10[1]、 Web Application Security Consortium Webアプリケーション・セキュリティ脅威の分類[2]等が基本的に検出可能な脆弱性となっている。 これは、不正なHTTPリクエストを送信し擬似攻撃を行うことで、クロスサイトスクリプティングSQLインジェクション等を見つけることができる。

ネットワーク脆弱性検査ツール

編集

ネットワークレイヤの脆弱性を見つけることを目的としたツール。サーバやネットワーク機器の設定不備やパッチ適用の不備による、バッファオーバーフロー等の脆弱性を見つけることができる。これは特定の(不正な)パケットを送信し対象の挙動を観察することにより脆弱性の有無を調査する物である。

ネットワーク脆弱性検査ツールは、脆弱性検査ツールの中では比較的古い歴史を持っている。

関連項目

編集