PR
今回発表された普及活動の概要(IPAの資料から引用)
今回発表された普及活動の概要(IPAの資料から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は2011年7月28日、「ファジング(fuzzing)」と呼ばれる脆弱性検出技術の普及活動を、8月に開始することを発表した。IPAの担当者が、人気ソフトなどを対象にファジングを実施し、知見や実績を蓄積。それを基に「ファジング活用の手引き」をまとめ、2012年第1四半期をめどに公開するという。

 ファジングとは、検査対象のソフトウエア製品あるいは機器に対して、開発者が想定しないようなデータを次々と入力し、その応答からソフトや機器の脆弱性を探す技術。想定外のデータとは、非常に長い文字列や大きい値など。

 入力データの応答として異常な結果を返したり、動作が異常終了したりした場合には、その処理をした箇所を詳細に調べる。ファジングを実施するためのツール(「ファジングツール」や「ファザー」などと呼ばれる)は多数存在する。

 IPAによれば、ファジングは脆弱性検出に有効な技術であり実績があるものの、国内では認知や普及が進んでいないのが実情だという。

 そこで今回、IPAではファジングの普及活動を開始する。具体的には、IPAがファジングツールを使って、実在する製品に対して脆弱性検査を実施する(図)。

 それにより、ファジングを活用するための知見や実績をIPAで蓄積し、その成果を「ファジング活用の手引き」としてまとめ、2012年第1四半期をめどに公開する。ファジングの有効性を具体的に示すことで、普及につなげる狙いだ。活動中に見つかった脆弱性は製品開発者に報告する。

 当初の検査対象製品は、国内で人気のあるソフトウエアや、家庭向けネットワーク対応機器。後者の例としては、ブロードバンドルーターや、ネットワークに対応したゲーム機やテレビを挙げている。将来的には、産業用制御システムやネットワーク対応医療機器なども対象にしたいとしている。