IPAの脆弱性体験学習ツール「AppGoat」に実践的な「演習環境」

　IPAは10日、情報セキュリティ人材育成教材として利用できる「脆弱性体験学習ツール AppGoatウェブアプリケーション学習版」を機能強化した。新たに5タイプの脆弱性と学習テーマ13件、より実践的に脆弱性を発見するための演習環境などを追加し、Webサイト上で同日公開している。

　同ツールは、IPAが提供する脆弱性を作り込まない手法を実践的に習得するためのもので、2011年11月より、「ウェブアプリケーション学習版」と「デスクトップアプリケーション版」の2種類を公開している。

　「ウェブアプリケーション学習版」における今回の機能強化では、多数報告されている脆弱性5タイプ――「OSコマンド・インジェクション」「HTTPヘッダ・インジェクション」「セッション管理の不備」などを追加し、この5タイプに対応した計13の学習テーマを新設した。これにより、合計9タイプの脆弱性に対する28の学習テーマがそろった。

　また、脆弱性対策セミナーの受講者からの要望の多い「演習環境」も追加。具体的に、（1）脆弱性を自ら修正できる演習環境と、（2）パターン化された方法に頼らずより実践的に脆弱性を発見するための演習環境を用意した。

　（2）については、従来の「ウェブアプリケーション学習版」は「○○という脆弱性の発見方法は△△だ」といった一対の関係で検出方法を学ぶものだったが、現場の検出では、どこにどのような脆弱性が潜んでいるか探索する必要がある。そこで複数の脆弱性を埋め込んだ検査専用の演習環境を追加したとのこと。

　また、「ウェブアプリケーション学習版」は、その活用を通じて実際のウェブアプリケーション開発における課題の認識にも利用できるという。例えば、ソースコードの記述に問題があるとの認識に至った場合には、修正のために「IPAテクニカルウォッチ：ウェブサイトにおける脆弱性検査手法の紹介（ソースコード検査編）」を教本とすることで、より効率的に問題点を発見できる。また、検出方法に課題がある場合には、オープンソースの脆弱性検査ツールを評価した教本により、ツールを使った動的な脆弱性検査手法を学習できるとしている。

脆弱性を内包したままのWebサイトがいまだ多数

　2013年、日本国内のWebサイトで、ウェブアプリケーションの脆弱性悪用が主因と思われる改ざんや情報流出事件が多発した。IPAとJPCERT/CCが運営する脆弱性届出制度におけるウェブサイトの脆弱性報告は、2012年が671件で2013年が883件と増えており、脆弱性を内包したまま運営されているウェブサイトが国内に多数存在することがうかがえる。

　IPAでは、今回のツールが企業・組織で活用され、セキュリティ対策の施された安全なウェブサイトが運営されることを願うとともに、学術・教育機関における学習教材として広く活用され、人材育成の一助となるよう、今後も普及・啓発に努めるとしている。