IPA、開発者向けにTCP/IP脆弱性検証ツール最新版を無償貸出

 独立行政法人情報処理推進機構(IPA)は2009年1月8日、TCP/IPを実装したソフトウェアの脆弱性検証ツール最新版を開発者向けに貸出開始した。既知の脆弱性を体系的に検証し、再発を防止できるという。費用は無償で、貸出期間は1年間(更新可能)。日本国内の製品開発ベンダーで、法人格を持つ事業体が対象。

神戸デジタル・ラボ、Webサイト診断用テスト環境の構築サービスを開始

 神戸デジタル・ラボ(本社:神戸市)は2008年12月1日、実システムと同じ環境を構築して、事前にサイトのセキュリティ診断などができる「診断用テスト環境の構築サービス」を開始した。価格は、WebサーバとDBサーバを1台のマシンで構成する「サービスプラン1台パック」で20万円から(別途ProactiveDefense診断価格がかかる)。

OpenVASを使ったセキュリティ監査

openvas_thm.png

 セキュリティはもちろん重要だが、絶えず最新の対策を用意することは難しく、脆弱性のチェックをネットワーク全体に対して行うのは非常に面倒でもある。よって、そうしたテストを自動化し、なおかつ最も適切な最新のテストを実行できる方法が必要になる。 Open Vulnerability Assessment System (OpenVAS)は、セントラルサーバとGUIフロントエンドからなるネットワークセキュリティスキャナである。OpenVASサーバは、Nessus Attack Scripting Language(NASL)で書かれた何種類ものネットワーク脆弱性テスト(NVT)を実行できる。また、こうしたテストはOpenVASプロジェクトによって頻繁に更新されている。

テクマトリックス、Javaテストツール「Jtest」に脆弱性検出機能を標準搭載

 テクマトリックスは2008年10月6日、米Parasoftが開発したJavaテストツール「Parasoft Jtest 8.3」に脆弱性検出機能などセキュリティ関連機能を追加したと発表した。これまで別売オプションで個別対応していた機能を標準搭載にした。価格は据え置きで、既存ユーザーは無料で追加機能を利用できる。

ratproxy――Webアプリケーションのセキュリティレベルを検証するGoogle提供ツール

 Webアプリケーション開発者によるセキュリティレベルの検証作業をサポートすることを目的として、 ratproxy と呼ばれるオープンソース型ツールが先日Googleからリリースされた。これはWeb 2.0およびAJAXアプリケーションを対象に構築された非破壊型の検査ツールであり、セキュリティ上の問題点が可読性に優れた形式にてレポートされるようになっている。

オープンソースソフトのセキュリティ問題を警告ーー米Fortify

 セキュリティ企業の米Fortify Softwareは7月21日(米国時間)、オープンソースソフトウェアにおけるセキュリティを調査したレポート「Open Source Security Study」を発表した。オープンソースの採用が増加しているが、オープンソース開発プロセスにはセキュリティが組み込まれていないと警告している。

IPA、5月のウイルス・不正アクセスの届出状況、SQLインジェクション攻撃に注意

 情報処理推進機構(IPA、西垣浩司理事長)は6月3日、08年5月のコンピュータウイルス・不正アクセスの届出状況を発表した。SQL(Structured Query Language)インジェクションと呼ばれる不正アクセスの被害が多発しており、情報漏えい、ウェブサイトが改ざんの危険性があると注意を促した。

セキュリティ警報:多数のシステムに影響を及ぼすDebian OpenSSLの不具合が発覚

 高名なセキュリティ研究者であり、MetaSploit Projectの創設者でもあるH. D. Moore氏は、DebianパッケージのOpenSSLに隠されていたバグという同氏の発見した最新の研究結果を報告した。Moore氏は今回のバグの発生源を説明すると共に、OpenSSLの生成する鍵に付けられた値がこの不備を悪用することで簡単に予測できてしまう点に注意を喚起している。