SPI、Web 2.0 時代に適合したセキュリティ アーキテクチャを発表

この記事のURLhttp://japan.internet.com/webtech/20070131/12.html

たいていの企業では、Web アプリケーションのセキュリティは IT 管理者の責任なのだろうが、IT 管理者にも言い分はあるだろう。動的な「Web 2.0」型アプリケーションの複雑さが増すにつれ、従来のバグ検出ソリューションで Web アプリケーションが持つ脆弱性の大半を捕捉することは、ほとんど不可能になってきた。

Web アプリケーション セキュリティ会社 SPI Dynamics は1月29日、この構造上の困難を解決するため、新アーキテクチャ『Phoenix』を開発したと発表した。Phoenix は、Web 2.0 型アプリケーションを分析し、これまで検知できなかった Web 上の脆弱性を発見する、新しい Web アプリケーション セキュリティ アーキテクチャだ。

SPI の製品管理担当副社長 Erik Peterson 氏によると、『Ajax』『RSS』『Flash』といった技術を用いた現代の Web アプリケーションは、クライアント側とサーバー側の処理を組み合わせているため、より複雑になっているという。

既存のアプリケーション スキャナは、SPI 自身の『WebInspect』シリーズ製品も含めて、2000年に開発された時代遅れのアーキテクチャに基づいている、と SPI は説明した。Web アプリケーションの進化に追従しなかった以上、最新の脆弱性を検知できないのは当然のことだ。

Peterson 氏は、新アーキテクチャの開発経緯について次のように述べた。「われわれは、Web が進む先の最前線に居続けるため、自社製品のアーキテクチャを完全に再構築する必要があった。われわれは、この新アーキテクチャが確実に成果をもたらすだろうとの感触を得ている」

Phoenix は今後、SPI のセキュリティ ソフトウェア基盤となる。その第1弾として SPI は、同社の新版 Web スキャナ『WebInspect 7』に Phoenix を投入した。

WebInspect 7 は、XML 形式の入力パラメータをすべて検出し、各 XML フィールドでパラメータを操作してサービス内の脆弱性を探り、Web サービスの評価を行なう。

WebInspect 7 は将来的に不可欠なネットワーク技術『IPv6』に対応している。WebInspect 7 の発売は2月14日の予定だ。

WebInspect 7 は、Web 2.0 に焦点を合わせた機能を搭載しているため、競合相手の Watchfire や Cenzic が提供する現行の Web スキャン製品から、かなりの乗り換えが発生すると SPI は自信を持っている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。