安全なウェブサイト構築のための脆弱性体験学習ツール“AppGoat”(アップゴート)最新版公開
2016年11月18日
省庁・団体名
独立行政法人情報処理推進機構(IPA)
概要
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、2011年1月から公開している脆弱性体験学習ツール“AppGoat”(アップゴート)をV2.0からV3.0にバージョンアップし、最新版として本日公開します。
最新版では、組織での集合学習を想定した管理者(教育担当者)向け機能などを新たに追加しています。
内容
IPAではかねてより、ウェブサイトに作りこまれてしまう脆弱性の多くは、開発者の脆弱性への知識の不十分さが原因であると考えています。ウェブサイトは今や事業遂行における不可欠な存在で、脆弱性を狙った攻撃による影響は、組織への売上貢献やコスト削減といった役割を損ないかねません。また、脆弱性を悪用された結果、個人情報の漏えいや閲覧者へのウイルス感染など二次被害につながる可能性も否定できません。
IPAは2011年1月から、ウェブサイトにおける脆弱性の発見方法、およびその対策について個人用学習を想定した、演習形式のツール“AppGoat”を公開しています。
本日公開の最新版“AppGoat V3.0”では、学習対象の脆弱性を従来の9種に3種加え、合計12種(*1)としました。これは2015年3月に公開した「安全なウェブサイトの作り方改訂第7版」に準拠したものです。また、組織的な脆弱性対策の教育が必要であると考え、円滑な集合学習を可能にする管理者(教育担当者)機能を新たに追加しました。詳細は下記をご覧ください。
◆ 追加機能
(1)管理者向け
① 集合学習モードの追加
・受講者はブラウザー経由で“AppGoat”の利用が可能(*2)(インストールは管理者のみ)。
② 受講者管理機能の追加
・管理者による受講者毎の学習の進捗確認や習熟度合いを把握可能。
③ カスタマイズ機能の追加
・フィルター機能により、受講者のレベルや講義目的に応じた脆弱性の選択・設定が可能。
・管理者が任意で“AppGoat”内の説明文等コンテンツ表記を変更可能。
(2)学習者向け
① 悪用の可能性が高い脆弱性の演習優先度を高めるため「基礎編」(*3)として構成し、それ以外を「応用編」(*4)とした。
② 全12種の脆弱性の演習問題を難易度に応じLevel 1(脆弱性の発見手法の学習)からLevel3(脆弱性コードの発見・
修正方法)に分類。
③ 全12種の脆弱性毎に各5問の習熟度テストを追加。
“AppGoat”V3.0の活用により、ウェブサイト開発者の脆弱性に対する技術的対策力の向上、およびウェブサイト管理者の脆弱性への理解向上により、脆弱性低減に寄与することを期待しています。
脚注
(*1) ①クロスサイト・スクリプティング ②SQLインジェクション ③クロスサイト・リクエスト・フォージェリ ④ディレクトリ・トラバーサル ⑤OSコマンド・インジェクション ⑥セッション管理の不備 ⑦認証制御や認可制御の欠落 ⑧HTTPヘッダ・インジェクション ⑨その他(エラーメッセージからの情報漏えい)以上9種に加え、⑩バッファーオーバーフロー ⑪クリックジャッキング ⑫メールヘッダー・インジェクションの3種を追加。
(*2) 旧版では学習者の端末全てにインストールが必要であった。
(*3) 脚注(*1)の①から⑥まで
(*4) 脚注(*1)の⑦から⑫まで
プレスリリースのダウンロード
お問い合わせ
IPA 技術本部 セキュリティセンター 亀山/土屋
Tel: 03-5978-7527 Fax: 03-5978-7518