脆弱性検査ツールとは？ わかりやすく解説

ウィキペディア

脆弱性検査ツール

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/11/04 07:45 UTC 版)

脆弱性検査ツール（ぜいじゃくせいけんさツール、Vulnerability Scannerを略してVSとも呼ばれる）とは、コンピュータセキュリティ上で、様々な侵入に用いられる攻撃手段を用いて、コンピュータの安全性を試すためのプログラム群である。大抵の場合はパッケージ化され、製品や試作ソフトウェアの評価に用いられている。

概要

これらのプログラムは、様々な侵入手段に対する防御力を評価するため、幾つかの侵入用ツールがセットになっている場合が多いため、一連のプログラム群が一つにまとめられ、連続して動作するように設計されている。その用途もあり、一般的なツールソフトウェアとは異なり、GUIなどの操作しやすい画面がついていたりする訳ではなく、設定もコマンド入力や設定ファイルの編集といったレベルで行う物が大半であった。現在では、一般的な開発者レベルのスキルを持つ人でも動作させることが出来るようになった。

これらは様々なセキュリティ団体や利用している企業自身の手によって製作された物が、コンピュータネットワーク構築業務を行う企業や、サーバ製品・通信関連ソフトウェア等のメーカーに利用されている。特にサーバ製品を販売しているメーカーは、自社製品の安全性を評価するため、セキュリティ団体が公表しているオープンソースのソフトウェアに加え、自社内で最新のセキュリティ情報を元に侵入用のプログラムを自ら製作、利用している。

これらのツールには破壊的な活動をする物は無いが、最新の侵入手段を採用している事もあり、「盾と矛の攻防」は常に熾烈を極めるが、この評価には大変な時間を要するため、一部のメーカーでは、余り厳密に検査を行わない事もある。しかしそのような評価の甘い製品が侵入されれば、ユーザーの信用問題にも発展しかねないため、多くのメーカーでは専属の評価チームを擁して、製品評価に当たっている。

脆弱性検査ツールには、破壊型と非破壊型のツールがあるが脆弱性検査ツールは見つけることを目的としているため擬似攻撃を行う非破壊型のツールが殆どであり、実際に破壊行為を行うクラッキングツールとの大きな違いと言える。しかし、攻撃を行うことなく脆弱性を見つけ出す事は難しく、脆弱性検査ツールでは誤検知、未検知を少なくし効率的に検査を行うための様々な工夫が凝らされている。

脆弱性検査ツールは、脆弱性を見つける機能、脆弱性とその対策方法を報告する機能の2つの機能を有しているが、海外製品が多いためツールの日本語には改善の余地があるものが多い。しかしツールを利用することで、セキュリティ対策費用を抑え一定レベル以上のセキュリティ対策を行うことができる。また、将来のセキュリティリスクや事故を未然に防ぐために、商用サイトの殆どではサイトの公開前に検査を行うことが一般的である。

脆弱性検査ツールの種類

Webアプリケーション脆弱性検査ツール

Webアプリケーションの脆弱性を検出することを主にしたツール。Open Web Application Security Project OWASP TOP10[1]、 Web Application Security Consortium Webアプリケーション・セキュリティ脅威の分類[2]等が基本的に検出可能な脆弱性となっている。 これは、不正なHTTPリクエストを送信し擬似攻撃を行うことで、クロスサイトスクリプティングやSQLインジェクション等を見つけることができる。

• Webアプリケーション脆弱性検査ツール
  • AeyeScan エーアイセキュリティラボ
  • AppScan HCL Software
  • AppSpider Rapid7
  • Burp Suite PortSwigger
  • Fortify WebInspect Hewlett-Packard
  • komabato ユービーセキュア
  • Oversecured
  • OWASP ZAP OWASP (OSS)
  • Penetrator Penetrator Vulnerability Scanner
  • Securify スリーシェイク
  • VAddy ビットフォレスト
  • Vex -Vulnerability Explorer ユービーセキュア

ネットワーク脆弱性検査ツール

ネットワークレイヤの脆弱性を見つけることを目的としたツール。サーバやネットワーク機器の設定不備やパッチ適用の不備による、バッファオーバーフロー等の脆弱性を見つけることができる。これは特定の(不正な)パケットを送信し対象の挙動を観察することにより脆弱性の有無を調査する物である。

ネットワーク脆弱性検査ツールは、脆弱性検査ツールの中では比較的古い歴史を持っている。

• ネットワーク脆弱性検査ツール
  • ISS Internet Scanner IBM
  • InsightVM　Rapid7
  • McAfee Vulnerability Manager McAfee (EoS)
  • Nessus Tenable Network Security
  • Penetrator Penetrator Vulnerability Scanner
  • QualysGuard Qualys
  • Retina Network Security Scanner BeyondTrust (EoS)
  • SecureScout SecureScout

関連項目

• コンピュータセキュリティ
• ペネトレーションテスト
• ファイアウォール
• クラッキング
• 静的コード解析

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

ウィキペディア小見出し辞書

脆弱性検査ツール

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/05/02 00:27 UTC 版)

「サイバーセキュリティ」の記事における「脆弱性検査ツール」の解説

詳細は「脆弱性検査ツール」を参照 w3af、Nessus、OWASP ZAP、OpenVASなどがある。

※この「脆弱性検査ツール」の解説は、「サイバーセキュリティ」の解説の一部です。
「脆弱性検査ツール」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。