IPA「安全なウェブサイトの作り方」を取り入れた脆弱性対策

Jtest のセキュリティ脆弱性検出

Jtest では、SQLインジェクションやクロスサイトスクリプティングといった、セキュリティ脆弱性を検出する静的解析ルールが搭載されており、Webアプリケーションを脅かす攻撃に対して、脆弱なコードをピンポイントに検出します。

本記事では、Jtest に搭載されているセキュリティ脆弱性を検出するルールを使って、セキュリティを考慮したWebサイトを作成できるように提供されている「安全なウェブサイトの作り方」の内容に対応したルールセットについてご紹介いたします。

「安全なウェブサイトの作り方」とは

「安全なウェブサイトの作り方」をご存じでしょうか。
「安全なウェブサイトの作り方」とは、IPA(情報処理推進機構)が届出が多かった脆弱性の情報をもとに攻撃による影響度が高い脆弱性を取り上げて、セキュリティを適切に考慮したWebサイトを作るための資料です。

安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/websecurity/about.html

以下は「安全なウェブサイトの作り方」を脆弱性ごとに抜粋した内容です。

ウェブアプリケーションのセキュリティ実装 チェックリスト

「安全なウェブサイトの作り方」では、「ウェブアプリケーションのセキュリティ実装 チェックリスト」を公開しています。
チェックリストでは、各脆弱性の解説や解決方法が掲載されています。


ウェブアプリケーションのセキュリティ実装 チェックリストから抜粋

 

今回はこちらのチェックリストを使って、Jtest に搭載されているルールとの対応表の一部をご紹介します。
以下はSQLインジェクションの脆弱性に対する、実施項目ごとに対応が可能なJtest  のルールとマッピングしています。
一部、コード解析では対策ができない項目についてはJtest ルールでの対応は✖となっています。

ウェブアプリケーションのセキュリティ実装 チェックリストとJtest ルールをマッピング

 

テクマトリックスでは、今回ご紹介しているSQLインジェクション以外の脆弱性についてもルールのマッピングを実施して対応表を作成しております。ご興味のある方はぜひお問い合わせください。
既にJtest をご利用中の場合、ルールリスト(テストコンフィギュレーション)についてもご提供可能ですので、お気軽にお問い合わせください。

Jtest に関するお問い合わせはこちら↓↓↓

2024/03/08(金)にウェブアプリケーションのセキュリティ対策にご興味がある方におススメのセミナーを開催いたします。

次のようなお悩みをお持ちの方におすすめのセミナーです。

  • 脆弱性を簡単に検知する方法を知りたい…
  • 脆弱性の作りこみを防止したい…
  • セキュリティ技術の情報を収集したい…

セミナーの詳細はこちら↓↓↓

最後に

ウェブアプリケーションの開発においてセキュリティの脆弱性の問題は切り離すことができない課題です。
IPA「安全なウェブサイトの作り方」の項目に則った、Jtest のルールリストで解析を実施することでセキュアなWebアプリケーションの作成をサポートすることができます。

ぜひ、Parasoft Jtest を使用してWebアプリケーションの品質向上にお役立てください。

Top