IPA(情報処理推進機構)で公開されている「ファジング活用の手引き」が2017年3月3日に更新されました。
「ファジング活用の手引き」では、脆弱性検査の技術の一つである「ファジング」について、概要・実践方法・活用方法を記載しています。
ファジングは、対象にリクエストを送信することで問題を起こしうる、画像ファイルやパケット(HTTPリクエスト含む)のリクエストを送信し、そのレスポンスによって対象の脆弱性を検出する手法です。
本書では、ファジングについての概要理解に始まり、どのように進めるか(対象の選定やファジングツールの選択、検査する内容等)のステップ解説、ファジングの活用例を交えて説明が行われています。
脆弱性検査も含めてファジング検査は、セキュリティの専門家に依頼する企業がほとんどであり、ブラックボックスとなっています。
本書を読むことで、開発保守担当者の方々も検査手法について理解を深められるでしょう。
参照:
https://www.ipa.go.jp/security/vuln/ps6vr70000011jqy-att/000057652.pdf
この記事の執筆・監修者
岡山 大
三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
- 関連トピックス:
- セキュリティ運用・管理
