Service
セキュリティ検証:ファジング(Fuzzing)
ファジングは、通信系、制御系をはじめ、広範囲に活用できるセキュリティテスト手法の一つです。ベリサーブでは過去の検証プロジェクトで培った経験と検証技術を活かして、お客様にとって最適な方法でファジングを実施いたします。
導入メリット
- POINT1 対象製品・システムやプロジェクト規模に応じて、最適なファジングの実施が可能です。
- POINT2 ファジングの課題とされる「テスト終了条件の曖昧さ」を排除し、過不足の無いテストを実施しますので安心です。
- POINT3 膨大なテスト項目の組み合わせの中から、最適な組み合わせにチューニングを行い、コストを低減します。
ファジングとは
ファジングとは、ソフトウェアテストの手法の一つで、ファズ(fuzz)と呼ばれる通常想定されていない「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例外を発生させ、潜在的なバグ・脆弱性を検出する手法です。
ファジングのメリット
対象プログラムに関する知識が少なくても導入が可能
- シンプルな仕組みのツールを利用するため、比較的実施しやすい
- 一度使用方法を覚えると、さまざまなプログラムに対しての実施が可能
テストの自動化・効率化による労力削減
- 同じテスト手順を自動的に繰り返す仕組みであるため、通常のデバッグ・テストと比較して人的負荷を抑えられる
- 同様の入力データを想定したプログラムに対し、ファズ(データ)の流用・再利用が可能
バグ・脆弱性の低減
- 対象プログラムに対する知識、脆弱性に関する知見・技術が無くても一定の成果を上げることが可能
ファジングにおける課題
ファジングは、比較的手軽にバグ・脆弱性を発見できる手法ですが、抜け漏れなく効率的に実施するためには、いくつかの課題も存在します。
よくある悩み
全体 | ・そもそもファジングが分からない。 ・何から手を付ければ良いか分からない。 ・ファジング対象の仕様についてどこまで押さえておけば良いか分からない (インターフェース、プロトコル、など)。 |
---|---|
計画フェーズ | ・どのようなファズ(データ)を送って良いか分からない。 ・どこまで実施すれば良いか分からない。 ・ファジング対象の状態をどうやって監視すべきか分からない。 ・何をもってOKとして良いか分からない。 |
実行フェーズ | ・時間がかかり過ぎる。うまく自動化できない(途中で止まる)。 ・ツールでエラーが出たが何をして良いか分からない。 ・ファジング対象が落ちたが、どこに問題があったか分からない。 |
報告フェーズ | ・結局うまくできたのか分からない。 ・問題が見つからなかったがそれで良かったのか分からない。 ・要件が満たされたのか分からない。 |
ベリサーブの提供するファジング
最適なテスト戦略の立案
① 戦略を重視した効率的なテスト
ISA Secure EDSA認証※をはじめとする、認証や規格に精通した当社のテストエンジニアが、「どのような通信環境(インターフェース、プロトコル)を前提としているのか?」「どのようなデータを用いるか?」「どのように問題を検知するか?」「最適なツールは?」など、ファジング対象となるお客様の製品・システムの特性や要件、システム環境をヒアリングの上、最適なテスト戦略を立案いたします。
② 過去の知見により、重要検証箇所を把握
認証や規格が存在しない製品・システム固有のプロトコルについても、過去の知見から得たテストケースや、ファジングツールが持つテストケースを活用し、プロトコルごとに適切な組み合わせを用意し、時間コストを低減いたします。
参考:https://www.isasecure.org/en-US/Certification/IEC-62443-EDSA-Certification-(In-Japanese)
ファジングの実施手順
ファジングに使用するセキュリティ検証ツール(例)
American fuzzy lop(AFL)
遺伝的アルゴリズムを用いてテストケースのコードカバレッジを効率的に向上させる無償のファジングツールです。その利便性と、数多くの脆弱性を発見した実績により、広く利用されています。
Defensics
Synopsys社(https://www.synopsys.com/ja-jp.html)が提供する有償のファジングツールです。ベリサーブでは2017年からDefensicsを活用し、数々のファジングを実施しており、2019年に代理店契約を締結しています。
Defensicsは匿名の顧客企業による約50億件のテスト結果を蓄積しており、ファジングに高度な知見をもたらすツールとして国内外で多くの実績を持っています。50万以上のWebサイトに影響を与え、OpenSSLの脆弱性として広く知られているHeartbleedも、Defensicsによって発見されています。
Defensicsの詳細についてはこちらのページもご覧ください。
掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。