SPI、Web 2.0 時代に適合したセキュリティ アーキテクチャを発表

たいていの企業では、Web アプリケーションのセキュリティは IT 管理者の責任なのだろうが、IT 管理者にも言い分はあるだろう。動的な「Web 2.0」型アプリケーションの複雑さが増すにつれ、従来のバグ検出ソリューションで Web アプリケーションが持つ脆弱性の大半を捕捉することは、ほとんど不可能になってきた。

Web アプリケーション セキュリティ会社 SPI Dynamics は1月29日、この構造上の困難を解決するため、新アーキテクチャ『Phoenix』を開発したと発表した。Phoenix は、Web 2.0 型アプリケーションを分析し、これまで検知できなかった Web 上の脆弱性を発見する、新しい Web アプリケーション セキュリティ アーキテクチャだ。

SPI の製品管理担当副社長 Erik Peterson 氏によると、『Ajax』『RSS』『Flash』といった技術を用いた現代の Web アプリケーションは、クライアント側とサーバー側の処理を組み合わせているため、より複雑になっているという。

既存のアプリケーション スキャナは、SPI 自身の『WebInspect』シリーズ製品も含めて、2000年に開発された時代遅れのアーキテクチャに基づいている、と SPI は説明した。Web アプリケーションの進化に追従しなかった以上、最新の脆弱性を検知できないのは当然のことだ。

Peterson 氏は、新アーキテクチャの開発経緯について次のように述べた。「われわれは、Web が進む先の最前線に居続けるため、自社製品のアーキテクチャを完全に再構築する必要があった。われわれは、この新アーキテクチャが確実に成果をもたらすだろうとの感触を得ている」

Phoenix は今後、SPI のセキュリティ ソフトウェア基盤となる。その第1弾として SPI は、同社の新版 Web スキャナ『WebInspect 7』に Phoenix を投入した。

WebInspect 7 は、XML 形式の入力パラメータをすべて検出し、各 XML フィールドでパラメータを操作してサービス内の脆弱性を探り、Web サービスの評価を行なう。

WebInspect 7 は将来的に不可欠なネットワーク技術『IPv6』に対応している。WebInspect 7 の発売は2月14日の予定だ。

WebInspect 7 は、Web 2.0 に焦点を合わせた機能を搭載しているため、競合相手の Watchfire や Cenzic が提供する現行の Web スキャン製品から、かなりの乗り換えが発生すると SPI は自信を持っている。