「Ｊａｖａソースプログラムの脆弱性を摘出するセキュリティ検証サービスを
開始
～「InspectPro」シリーズのラインアップ追加、セキュアなウェブアプリケー
ションの構築を実現へ～」

株式会社日立システムアンドサービス(本社：東京都港区、執行役社長：中村
博行、以下、「日立システム」)は、Java言語ソースプログラムを対象とした
、ウェブアプリケーションのセキュリティ脆弱性として上位を占めているクロ
スサイト・スクリプティング(※1)やSQLインジェクション(※2)などの検証を
行うサービスを「InspectPro (インスペクトプロ)」シリーズのラインアップ
へ追加し、本日よりサービスを開始します。

　独立行政法人 情報処理推進機構(以下IPA)の報告書「ソフトウェア等の脆弱
性関連情報に関する届出状況[2006年第2四半期(4月～6月)]」によると、今四
半期のソフトウェア製品の脆弱性届出件数は過去最高の84件を記録し、セキュ
リティ問題への対策が近年ますます重要になってきているといえます。脆弱性
が報告されたソフトウェア製品のうちで最も大きな割合を占める製品種類は「
ウェブアプリケーションソフト」であり、「任意のスクリプト実行」を防止で
きなかったことが最大の原因となっています。また、ウェブアプリケーション
の脆弱性種類としては「クロスサイト・スクリプティング」が約４割、「SQL
インジェクション」が約２割を占めており、「データの改ざん、消去」や「
Cookie情報の漏洩」などの脅威が報告されています。
　クロスサイト・スクリプティングやSQLインジェクションはソースプログラ
ムの記述によっては防止できる脆弱性であり、任意のスクリプト実行防止など
アタッカーの攻撃への対策を講じたセキュアなソースプログラムを作成するこ
とが、ウェブアプリケーションのセキュリティ対策に非常に重要であると言え
ます。しかし、セキュリティの問題箇所は機能不良ではないので通常の機能テ
ストでは検出が難しく、コードレビュー等による全ソースプログラムの検証が
必要であり、対策に膨大な時間と人員の投入が必要になります。

　日立システムのInspectPro (インスペクトプロ) はソースプログラムの不良
を摘出し、レポートするサービスです(2003年12月発売)。最大の特徴は独自の
二段階検証であり、検証ソフトにより自動的に不良の可能性が高い部分を検出
する一次解析と、一次解析結果の中から専門アナリストが過剰指摘を排除する
二次解析を組み合わせて、システムダウンや情報漏洩などの重要障害につなが
る不良原因を的確にご報告いたします。C/C++、Java言語で作られたソースプ
ログラムに対し、システムダウンや動作不正の原因箇所を摘出する「信頼性検
証サービス」と、C/C++言語のソースプログラムに対し、セキュリティ上の問
題箇所を摘出する「セキュリティ検証サービス」を提供しており、今回新たに
Java言語対応のセキュリティ検証サービスを開始いたします。
　Java言語対応セキュリティサービスで対象とする問題箇所は、クロスサイト
・スクリプティング、SQLインジェクションに加え、ＨＴＴＰレスポンス分割(
※3)、ディレクトリトラバーサル(※4)というソースプログラムの記述により
対策が可能な脆弱性を網羅しているため、指摘箇所を修正するだけで信頼性の
高いウェブアプリケーション構築を実現いたします。解析ツールでソースプロ
グラムを全パス組み合わせて網羅的に検証後、専門アナリストが真に修正が必
要な問題箇所のみを詳細なレポートにてご報告するため、対策担当の方は修正
が必要な箇所と修正内容の把握が容易に出来、短時間でソースプログラムへの
脆弱性対策が可能になります。
　また、新たに重要な脆弱性が報告された場合やお客様の個別のご要望に応じ
て、摘出対象とする脆弱性の追加も行っており、常に最新の情報に基づく最適
な解析結果をご報告いたします。
　日立システムでは、Java言語対応のセキュリティサービスを今後2年間で売
上高5億円の販売を目標としております。

（※1）クロスサイト・スクリプティング
　ユーザーが入力した文字をそのままブラウザで表示する掲示板のようなウェ
ブサイトでは、画面の入力フォームにスクリプト（簡易的なプログラム）が入
力された場合の対策を行わないと、アタッカーの標的サイトになってしまう場
合があります。標的サイトになるとユーザーに悪質なスクリプトを送信するよ
う仕組まれ、ユーザー情報の流出など多大な被害を及ぼす可能性があります。
　InspectProでは、ウェブブラウザから送信されたデータを元に動的に画面を
組み立てるJavaプログラムで、スクリプトが埋め込まれた場合の対策がなされ
ていない箇所を摘出します。
（※2）SQLインジェクション
　ユーザーIDとパスワードの認証システムのような、データベースにアクセス
するウェブサイトでは、通常はブラウザから入力された値を元にデータベース
の検索を行います。これらの入力フォームに入力された値を元にそのままSQL
文を組み立ててしまうと予期せぬSQL文の実行につながり、本来表示してはい
けないデータの表示やデータの改ざん・消去などの脅威を引き起こす可能性が
あります。
　InspectProでは、ウェブブラウザから送信された値を元にデータベースを検
索するようなプログラムで、不正な値が入力された場合の対策がされていない
箇所を摘出します。
（※3）HTTPレスポンス分割
　ユーザーから送信されたデータをそのままHTTPヘッダ作成に利用するウェブ
サイトでは、複数の改行コードやHTMLタグを表す記号が入力された場合の対策
を行わないと、アタッカーの標的サイトになってしまう場合があります。標的
サイトになると、アタッカーが埋め込んだ偽のウェブ画面をユーザーに送信し
てしまう可能性があります。
　InspectProでは、ユーザーから渡された値を元にHTTPレスポンスを作成する
プログラムにおいて、複数の改行が渡された場合の対策がなされていない箇所
を摘出します。
（※4）ディレクトリトラバーサル
　入力された値を元にサーバー内のファイルを検索するようなウェブサイトで
は、ファイル名入力フォームにパス表記やフォルダ名などが指定された場合、
公開を想定していないフォルダやファイルへのアクセスを許可してしまい、情
報流出やデータ改ざんなど多大な被害を及ぼす可能性があります。
　InspectProでは、ファイル名を取得するプログラムにおいて、入力ファイル
名の妥当性を検証していない箇所を摘出します。

● 日立システムについて (http://www.hitachi-system.co.jp/)
日立システムは、金融・公共・製造・流通分野で信頼性の高い情報技術力を背
景に全国規模でシステムインテグレーションサービスを展開しています。イン
ターネット技術を活用したデータベースシステム・グループウェア・ERPをは
じめ、経営情報の可視化をはかるEPMや先進的なXMLを活用したシステムインテ
グレーション事業に積極的に取り組んでいます。

● InspectProについ
（http://www.hitachi-system.co.jp/inspectpro/ ）

● お問合せ先
［製品に関するお問合せ先］
株式会社日立システムアンドサービス　オープンソリューション営業部
担当：寺田　忠幸
TEL：03-6718-5819、E-mail：inspectpro_os_dm@hitachi-system.co.jp

［報道に関するお問合せ先］
株式会社日立システムアンドサービス　社長室広報グループ　
担当：廣納（ひろのう）、松野（まつの）　
TEL：03-6718-5750、E-mail：press@hitachi-system.co.jp

■　商標名称等に関する表示
・ InspectProは、株式会社日立システムアンドサービスの登録商標です。
・ その他本文中の会社名、商品名は、各社の商標及び登録商標です。
以　上