脆弱性

セキュリティ診断ツール「OWASP ZAP」とは

2018.04.20

脆弱性

What-is-OWASP-ZAP

自社で開発したWebアプリケーションが、セキュリティ対策ができているかご存知ですか。もし自社のWebアプリケーションに脆弱性が存在していると、簡単にWebサイトが改ざんされてしまったり、ダウンしてしまったり、個人情報が漏えいしてしまうことすらあります。

例えば、企業提供するECサイトがダウンしたら「大変なこと」が起きることは明白ですよ。しかし、自社のWebアプリケーションの脆弱性については、知らない場合が多くあります。

そこでおすすめしたいのがセキュリティ診断ツール「OWASP ZAP(オワスプ・ザップ)」です。OWASP ZAPを使うことでWebアプリケーションの脆弱性をチェックできます。さらに無料で使うことができます。
さっそく、OWASP ZAPについてみていきましょう。

目次

1.Webアプリケーションの脆弱性とは

「Webアプリケーション」という言葉を初めて聞いたという方は、「インターネット上の便利な機能を持ったサイト」と覚えておいてください。例えば、グーグルやYahoo!などの検索エンジンは「Webアプリケーション」です。

自分の銀行口座の残額をネット上で調べるネットバンキングのサイトもWebアプリケーションです。そのほか、e-ラーニングのホームページも、ブログも、すべてWebアプリケーションです。

ECサイトの場合を考えてみましょう。
EC運営会社にとっては、ECサイトは重要な営業ツールです。

もしこのECサイトのWebアプリケーションに脆弱性があり、サイバー攻撃を受けてしまった場合、次のような損害を被るが発生する可能性があります。

・自社通販サイトの停止による売上機会の損失
・顧客情報の漏えい
・顧客への謝罪と賠償
・ブランドイメージの棄損 など

このような被害が出る前にセキュリティ診断ツールOWASP ZAPを使って自社のWebアプリケーションの脆弱性を調べてみませんか。

2.OWASP ZAPをつくったOWASPとは

セキュリティ診断ツール「OWASP ZAP」は、The Open Web Application Security Project(通称OWASP、オワスプ)という国際的なコミュニティがつくりました。
OWASPを運営しているのはアメリカのThe OWASP Foundation(OWASP財団)という団体で、2001年に設立されています。いまでは世界中に200以上の支部を持ちます。日本にもOWASP Japanがあります。OWASP財団の目的は、Webアプリケーションを保護することで、そのためにOWASPのメンバーは約120以上のプロジェクトを進行しています。誰でも無料でWebアプリケーションの脆弱性をチェックできるOWASP ZAPも120のプロジェクトの1つとして生まれました。

3.OWASP ZAPの使い方

OWASP ZAPの使い方は簡単です。

OWASP ZAPをパソコンへダウンロードして、脆弱性を確認したいWebアプリケーションのURLを入力するだけです。チェック対象となるWebアプリケーションへ攻撃を仕掛けて弱点を洗い出し、見つけた弱点を教えてくれるのです。

OWASP ZAPは、下記のURLからダウンロードできます。
https://github.com/zaproxy/zaproxy/wiki/Downloads

ダウンロードすると、パソコン画面に「保存しますか」という表示が出るので、保存します。次に「ZAPセッションの保存方法をどうしますか?」と出てくるので、「継続的に保存せず、必要に応じてセッションを保存」にチェックを入れて「開始」をクリックします。これでOWASP ZAPがパソコン画面に立ち上がりますので、プロキシ設定を行えば脆弱性チェックを実行できます。

4.OWASP ZAPは何をするのか

OWASP ZAPは、次の3つのチェック方法でWebアプリケーションの脆弱性を確認します。

・簡易スキャン
・静的スキャン
・動的スキャン

1つずつ具体的にみていきましょう。

4-1.簡易スキャンは何をするのか

「スキャン」とは、対象のWebアプリケーションを攻撃することです。OWASP ZAPにチェック対象WebアプリケーションのURLを入力すると簡易スキャンが始まります。作業は数分で終わることもありますが、数時間かかることもあります。

OWASP ZAPは対象Webアプリケーションに大量のリクエストを送信していきます。(コンピュータ用語としての「リクエスト」とは、コンピュータシステム上でやり取りされる「要求」や「メッセージ」のことです。)簡易スキャンが完了すると、パソコン画面に「アラート(警告)」として、脆弱性が見つかった箇所が表示されます。

4-2.静的スキャンは何をするのか

静的スキャンでは、OWASP ZAPを操作している人(ユーザー)が、実際に対象Webアプリケーションを使ってみます。
例えば、対象WebアプリケーションがECサイトの場合、商品のページを開き、商品を「カート」へ入れたり、決済したりします。
このように、ユーザーがいつもそのWebアプリケーションを使うように操作をすると、OWASP ZAPがユーザーの操作によってどのように動いたかを検査してくれるのです。
静的スキャンが完了すると、アラートとして脆弱箇所が表示されます。

4-3.動的スキャンは何をするのか

動的スキャンは、静的スキャンで検査した箇所に対し、簡易スキャンのときと同様に大量のリクエストを送信して攻撃します。「念のためもう一度じっくり攻撃してみる」ことで、簡易スキャンや静的スキャンで露呈しなかった弱さを顕在化させるわけです。

5.まとめ~OWASP ZAPをつかってみよう

OWASP ZAPは無料で使うことができます。これを使って自社のWebアプリケーションを調べて、1個でも脆弱性が見つかったらプロのシステム開発業者に本格的な情報セキュリティチェックをしてもらえばいいのです。これを機会に、まずはOWASP ZAPを使って脆弱性をチェックしてみてはいかがでしょうか。