Webアプリケーション向けのセキュリティスキャナ「skipfish」を使う

図3 Crawl resultsにはクロールの際に発見された問題点が表示される

 近年では多くの分野でWebアプリケーションが使われるようになり、大量の個人情報や重要な秘密情報を扱うようなアプリケーションも少なくない。そのため、Webアプリケーションも攻撃対象として狙われやすくなっている。今回はWebアプリケーションのセキュリティ対策として、Googleが公開しているセキュリティ調査ツール「skipfish」を使ったセキュリティスキャンを紹介する。

脆弱性スキャナ「OpenVAS」で実行するセキュリティチェック

 昨今ではソフトウェアに脆弱性が発見されることは珍しくない。そのため、既知の脆弱性についていかに迅速に対処を行うかが重要となっている。本記事では既知の脆弱性を発見するためのツールである脆弱性スキャナ「OpenVAS」を使ったサーバーのセキュリティチェック方法について解説する。

ポートスキャンツール「Nmap」を使ったセキュリティチェック

ポートスキャンツール「Nmap」を使ったセキュリティチェック アイコン

 サーバーの基本的なセキュリティ対策の1つとして重要なのが、ネットワーク内のどのマシンがどのポートでサービスを提供しているのかを把握することだ。このために有用なのが、ポートスキャナと呼ばれるツールだ。本記事ではポートスキャナとして有名な「Nmap」というソフトウェアを使用し、ポートスキャンを行う方法について解説する。

ファイル改ざんや実行時アラートに対応する「コードサイニング証明書」を理解する

 コードサイニング証明書(コード署名証明書)は、ベリサインなどの認証局(CA)から提供される証明書で、これを利用してソフトウェアなどのファイルに署名することでファイルの配布元を保証するとともに、ファイルの内容が改ざんされていないことを担保できる。この技術は10年以上前から利用されているが、マルウェア/アドウェアを仕込まれたコピー配布サイトの増加やWindowsにおける検証利用範囲の拡大などにより、近年では必要とされる場面が広がってきている。改めてコードサイニング証明書の現状を整理し、正確に把握していこう。