OWASP ZAPとは？

サイバー攻撃では情報の流出はもちろん、改ざんなどによる被害もよく見られます。Webアプリケーションが攻撃を受けてサイトが改ざんされてしまうことで悪意のある画像やページが多くの人たちの目に触れてしまう、またはダウンしてアクセスできない状況に追い込まれてしまうといった問題も起こりえます。ダウンするだけでも大変な被害がもたらされてしまいますし、改ざんやデータの流出はそのサイトを運営する企業や店舗の信用に取り返しのつかないダメージをもたらしてしまいます。それを防ぐためにはどうすればよいのか?必須と言われるのがWebアプリケーションの脆弱性を確認することです。この記事では、脆弱性を確認するためのツールであるOWASP ZAPについて解説していきます。

ショッピングサイトなど、顧客や利用者が個人情報を登録する必要があるサイトの場合、そこから攻撃を受けて改ざんや漏洩が行われてしまう恐れがあります。ですからこうしたサイトのWebアプリケーションがそうした攻撃に耐えられるかどうか、ちょっとした攻撃にも耐えられない脆弱なものなのか、日ごろから脆弱性を把握しておく必要があるのです。

しかしこのWebアプリケーションの脆弱性を確認するのはこれまで簡単なものではありませんでした。脆弱な状態のまま何も知らずにショッピングサイトの運営を続けていた結果ある日サイバー攻撃を受けて多大な被害を受けてしまうといったケースもよく見られたのです。

そこで誰でも簡単にWebアプリケーションの脆弱性を確認できるようにしよう、ということで開発されたのがセキュリティ診断ツールなのです。これを使えば自分たちのサイトやWebアプリケーションがどれだけサイバー攻撃に対して強い/弱いのかを判断できるようになります。

このセキュリティ診断ツールのOWASP ZAP とは「The Open Web Application Security Project(=OWASP)」というプロジェクトによって開発されたものです。運営しているのはアメリカにある財団ですが、国際的なプロジェクトとなっており、現在では世界中に200を超える支部を持ったうえで活動を展開しています。もちろん日本にも支部があり、Webアプリケーションをサイバー攻撃から守ることを主な目的としたうえでさまざまな活動を行っています。

OWASP ZAPもこのプロジェクトの一環として開発されました。

開発したプロジェクト・団体がそもそもサイバー攻撃対策を目的としているため、このOWASP ZAPもその対策を意識した内容になっているのが特徴です。

このセキュリティ診断ツールではWebアプリケーションの脆弱性をチェックするだけでなく、弱点を教えてくれるという大きな特徴を持っています。脆弱性とは文字通り「弱点があります」ということですから、どの部分を強化すればいいのかがわかっていなければ有効な対策を行うことができません。そこでこのツールでは弱点も洗い出すことでより有効な対策を行える環境へと導くことを目指しています。

このツールではおもに3つの手順が用意されています。「簡易スキャン」「静的スキャン」「動的スキャン」です。

まず簡易スキャンによって脆弱や部分があるかどうかをチェックし、あれば警告の形で表示されます。利用する側はこの段階で「自分たちのWebアプリケーションには問題があるのか」と把握することができるわけです。

そのうえで静的アプリケーションでは実際にOWASP ZAPを利用しているユーザーがWebアプリケーションを試して使ってみることで改めて脆弱性がないかどうかをチェックします。普段行っている作業を実際に行ったときにWebアプリケーションがどう作動するのか、その際にどういった問題点が生じるのかを細かくチェックしてくれます。

そして最後の動的スキャンでは静的スキャンにおいて脆弱性が発見された部分に対して攻撃を行い、改めて脆弱性をチェックします。簡易スキャンでまず大雑把なチェックをしたうえで静的スキャンで実際に利用した状況に即したチェックが行われ、最後に動的スキャンによってあらゆる状況を想定したうえでの脆弱性を最終的に判断する。この3段階のチェックで最終的に脆弱性が判断されることになります。

日本もこのプロジェクトに参加しているため、当然日本語版もあります。無料でダウンロードして入手することができるのでコストをかける必要もなく企業はもちろん、個人のネットショップなどでも手軽に利用できる点も大きな魅力になるでしょう。

現在でも活動は継続的に行われており、新たなサイバー攻撃の情報も踏まえたうえで脆弱性のチェックの精度を高めている状況です。これまでにもセキュリティ専門業者やIT関連業者はもちろん、金融業、製薬業、医療メーカー、サービス関連など幅広い業種に導入され確実な成果を上げています。

では具体的にどのように利用するのか？導入・利用方法はいたって簡単、インターネット上から無料で入手したうえで脆弱性をチェックしたいWebアプリケーションのURLを入力するだけ。これだけでそのWebアプリケーションがどれだけサイバー攻撃に対して強い/弱いかを確認することができるのです。なお、このツールを最初に立ち上げた時にはプロキシ設定を行ったうえで作業を行っていくことになります。

問題なのはチェックしたあとのことです。このツールはあくまでも脆弱性をチェックするものであって、セキュリティを強化するものではありません。サイバー攻撃に晒される危険ありと診断された場合には相応しい対策を施す必要があるわけです。ここまでしっかり行って初めてOWASP ZAPを有効に活用できたといえるでしょう。

まずこのツールで脆弱性に問題ありと結果が出た場合にはできれば専門の業者に本格的なセキュリティチェックをしてもらいましょう。予算の都合などで難しい場合もあるかもしれませんが、顧客データなど大量のデータを扱っている場合には念のために利用しておいた方が確実です。

そのうえで脆弱性を解消しセキュリティを強化するための対策を行います。クラウド型のWAFが主流となっており、それほどコストをかけることなくサイバー攻撃に強いセキュリティ環境を構築することができます。

なお、脆弱性に関しては4段階のレベルが設定されており、もっとも弱いレベル0から標準のレベル2、上級のレベル3までWebアプリケーションがどの程度のサイバー攻撃に耐えられるのかを判断することができます。できればレベル2以上が求められるでしょう。レベル1の場合、簡単なチェックだけでもすぐに脆弱性を検出できる、つまり簡単にサイバー攻撃に晒されてしまうことを意味しています。

忘れてはいけないのは脆弱性の判断とは一度で下すものではなく、あくまで継続的に行っていく必要があることです。サイバー攻撃とセキュリティの強化はイタチごっこの面が強く、一度攻撃をブロックすることができても次から次へとより巧妙な攻撃が生み出されていくものです。昨年セキュリティ環境が万全だと診断されたサイトであっても今年には新たな攻撃に対して脆弱な状況になってしまっているかもしれません。

そのためにもOWASP ZAPを定期的・継続的に行い、Webアプリケーションの脆弱性が問題になっていないかどうかを確認し続ける姿勢が欠かせないのです。

セキュリティに対する意識が欠けていると脆弱なWebアプリケーションをそのまま使い続けてサイバー攻撃の格好の餌食になってしまいかねません。今やセキュリティソフトを導入するだけでは不十分、あらゆるシチュエーションを考慮したうえでサイバー攻撃に備える姿勢が求められています。

そんな中でWebアプリケーションの脆弱性は多くの企業にとって見逃されがちな部分になりがちです。その問題点を手軽に、しかもコストをかけることなくチェックできるこのセキュリティ診断ツールは非常に魅力のある選択肢といえるでしょう。（2020年現在）

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。