文献

J-GLOBAL ID：201302268785624952   整理番号：13A0873760

汚染解析実施後のサニタイザ適切配置支援に関する考察

著者 (2件)： 小黒博昭 (NTTデータ) ,  橋本卓哉 (NTTデータ)
資料名： 情報処理学会研究報告(CD-ROM)
巻： 2012  号： 6  ページ： ROMBUNNO.DPS-154,NO.12  発行年： 2013年04月15日 
JST資料番号： Z0031C  ISSN： 2186-2583  資料種別： 逐次刊行物 (A)
記事区分： 短報  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： Webアプリケーションの脆弱性をソースコードレベルで検査する手法として,セキュリティに特化した静的解析ツールが広く知られており,その商用ソフトウェアも市場に広く流通している。これらの静的解析ツールは,通常,ソースコード上の外部入力点(Source;ソース)から,画面出力点やデータベースへのクエリーが送信される点などのセキュリティ上考慮されるべき出力点(Sink;シンク)に至るデータフローを解析し,そのすべてのパスにおいて,出力点に応じたエスケープ処理(Sanitizer;サニタイザ)が適用されているかという観点で検査される。ツールは,ソースからシンクへのパスの一部またはすべてを利用者へ示し,サニタイザが適用されているかの確認を利用者へ促したり,事前にツールの診断定義ファイルに登録されたサニタイザ関数名を持つ関数の適用がパス上に存在するかを検査するなどして,脆弱性の可能性がある箇所を出力する。このような解析は汚染解析(Taint Analysis)と呼ばれる。しかしながら,従来の静的解析ツールは,脆弱性の可能性がある箇所の出力までしか行わないものがほとんどであり,そのため,汚染解析実施後に脆弱性が発見された場合,サニタイザを適切に配置するように修正する作業は人間が注意深く行う必要があり,これにかかるコストが大きいという問題がある。本稿では,静的解析ツールが診断対象のソースコードに即してサニタイザの適切な配置箇所を利用者へ提案するための手法を提案する。(著者抄録)

シソーラス用語： 応用プログラム ,  *Webサービス ,  *コンピュータセキュリティ ,  計算機コード ,  インターネット ,  コンピュータウイルス ,  データ保護 ,  配置問題 ,  プログラム解析 ,  データ構造 ,  プログラム構造 ,  データベース ,  サイバー攻撃
準シソーラス用語： *Webアプリケーション ,  ソースコード ,  最適配置 ,  情報攻撃 ,  静的解析

分類 (2件)： その他の情報処理  (JE15050M) ,  データ保護  (JD01020V)

タイトルに関連する用語 (4件)： 汚染 ,  解析 ,  実施 ,  支援