簡単、Webアプリケーション脆弱性対策ツール『SecureBlockerTM』を展開 〜ウィルソン・ラーニング ワールドワイド社の大規模採用支援システム「e2R」へ提供開始〜
ニュースリリース/NTTデータ
2005年10月17日
株式会社NTTデータ
(株)NTTデータ(以下、NTTデータ)はWebアプリケーション脆弱性対策ライブラリ Secure
BlockerTMを展開してきましたが、このたび平成17年10月より、人材開発や採用支援を行う専門コンサルティング会社 ウィルソン・ラーニング ワールドワイド株式会社(以下、WLW)の大規模採用支援システム「eリクルーティングシステム e2R」へ提供を開始しました。
Secure BlockerはWebアプリケーション脆弱性対策として必要な処理を*ライブラリとして提供するもので、既存のアプリケーションに組み込むことによって簡単に、かつ高セキュリティなサイト構築が可能です。
*ライブラリ…特定用途のプログラムを集めたファイル。他のプログラムから呼び出して使用される。
【Secure Blockerとは】
SQLインジェクション、OSコマンドインジェクション、ディレクトリトラバーサル、クロスサイトスクリプティング…、昨今、個人情報漏洩などのセキュリティ事件の報道の中で、このようなWebアプリケーション脆弱性を表現する言葉を、よく耳にするようになりました。
事件報道からも言えることですが、Webアプリケーションを公開する以上は、いつ攻撃されるかわからない危険に直面していることになります。万一、十分な安全性を確保できておらず、攻撃を受けてしまった場合には、サービスの停止や顧客情報への影響など、会社の信頼を揺るがすような事態に発展する可能性も否定できません。しかしながら、一口に対策といっても、サービス提供者やWebアプリケーションの開発者は、アプリケーションへの具体的な対策要件や方法の検討が難しかったり、また、厳しい納期の中で、設計、実装、テストを実施できない場合も少なくありません。
そこでNTTデータは、このような状況を踏まえ、必要な対策をパッケージ化したSecure Blockerを提供します。
【概要】
Secure Blocker(Java版)はServletやJSPに組み込んで使用し、サイト全体に均一なセキュリティ対策を施すことができます。また、入力値のチェックやサニタイジング(危険な文字の無効化)の要件定義・設計・実装・テストをする必要がないため、新規のWebサイト構築や改修時はもちろん、緊急に脆弱性対策を実施する場合にも効果的です。
また、検査項目を設定するファイルを持っているため、ブラウザから送信されるパラメータごとに柔軟な設定をすることが可能です。例えば、パスワードだけは、特殊文字を許可するが、それ以外のすべてのパラメータでは特殊文字は禁止するといったルールが、設定ファイルだけで柔軟に対応することが可能です。そのほか、クロスサイトスクリプティングなどのパラメータ操作による攻撃も防御することができます。
利用イメージ
【Secure Blockerの特長】
【費用・販売】
定価:300万円/ドメイン
次年度以降継続利用料:60万円/年・ドメイン
【目標】
SecureBlockerは、開発ベンダやユーザ企業をはじめ、地方公共団体などの行政機関に対し、幅広く展開し、平成19年度末までに、1億円の販売を目指します。
また、Java以外の言語もサポートしていく予定です。
※SecureBlockerは、(株)NTTデータの商標です。その他の商品名等は各社の商標および登録商標です。
Secure BlockerはWebアプリケーション脆弱性対策として必要な処理を*ライブラリとして提供するもので、既存のアプリケーションに組み込むことによって簡単に、かつ高セキュリティなサイト構築が可能です。
*ライブラリ…特定用途のプログラムを集めたファイル。他のプログラムから呼び出して使用される。
【Secure Blockerとは】
SQLインジェクション、OSコマンドインジェクション、ディレクトリトラバーサル、クロスサイトスクリプティング…、昨今、個人情報漏洩などのセキュリティ事件の報道の中で、このようなWebアプリケーション脆弱性を表現する言葉を、よく耳にするようになりました。
事件報道からも言えることですが、Webアプリケーションを公開する以上は、いつ攻撃されるかわからない危険に直面していることになります。万一、十分な安全性を確保できておらず、攻撃を受けてしまった場合には、サービスの停止や顧客情報への影響など、会社の信頼を揺るがすような事態に発展する可能性も否定できません。しかしながら、一口に対策といっても、サービス提供者やWebアプリケーションの開発者は、アプリケーションへの具体的な対策要件や方法の検討が難しかったり、また、厳しい納期の中で、設計、実装、テストを実施できない場合も少なくありません。
そこでNTTデータは、このような状況を踏まえ、必要な対策をパッケージ化したSecure Blockerを提供します。
【概要】
Secure Blocker(Java版)はServletやJSPに組み込んで使用し、サイト全体に均一なセキュリティ対策を施すことができます。また、入力値のチェックやサニタイジング(危険な文字の無効化)の要件定義・設計・実装・テストをする必要がないため、新規のWebサイト構築や改修時はもちろん、緊急に脆弱性対策を実施する場合にも効果的です。
また、検査項目を設定するファイルを持っているため、ブラウザから送信されるパラメータごとに柔軟な設定をすることが可能です。例えば、パスワードだけは、特殊文字を許可するが、それ以外のすべてのパラメータでは特殊文字は禁止するといったルールが、設定ファイルだけで柔軟に対応することが可能です。そのほか、クロスサイトスクリプティングなどのパラメータ操作による攻撃も防御することができます。
利用イメージ
【Secure Blockerの特長】
- セキュアなアプリケーションを容易に開発
SecureBlockerの提供するAPIに、パラメータの名前と値を渡すだけで、簡単に高セキュリティなWebアプリケーションの構築ができるため、プログラマのスキルに関係なく、サイト全体に均一なセキュリティ対策を講じることができます。また、使い方や組み込み方を説明したマニュアルや、ライブラリのAPIドキュメントも用意しています。また、Servletの提供するパラメータ取得用のメソッド内に実装すれば、開発者からは透過的になり、強制的なチェック機能が短期間で実現できます。 - チェック工数削減
設定ファイルの記述とログによる動作確認を実施するだけで、Webアプリケーションの最終的な脆弱性検査ができるため、リリース前のWebアプリケーションの脆弱性検査工数を大幅に削減できます。(一部の検査を除く) - コスト低減
脆弱性対策に必要な作業(要件定義・設計・実装・テスト)が一切不要であるため、開発期間の短縮が可能となり、開発コスト自体を低減することが可能です。 - 柔軟なルール設定
パラメータ毎の設定や全パラメータに同一のルールを設定するなど柔軟なルール設定が可能なので、誤検知によるサービスへの影響を回避できます。
【費用・販売】
定価:300万円/ドメイン
次年度以降継続利用料:60万円/年・ドメイン
【目標】
SecureBlockerは、開発ベンダやユーザ企業をはじめ、地方公共団体などの行政機関に対し、幅広く展開し、平成19年度末までに、1億円の販売を目指します。
また、Java以外の言語もサポートしていく予定です。
※SecureBlockerは、(株)NTTデータの商標です。その他の商品名等は各社の商標および登録商標です。
