サイバーセキュリティを一般の人に説明する場合、分かりやすく実在するものに例えて説明することがよくある。
例えば、インシデントレスポンスであれば消防に例える。
火事が見つかった場合に緊急出動して消火を行う。平時は訓練等を通じていつでも出動できるようにする。
インシデントレスポンスも同じでセキュリティインシデントが発生した際には関係者をかき集めて復旧活動を行う。
同じ流れで、セキュリティ業界のキャリアパスを医者に例えるのはどうかと最近考えている。
医者と言っても特定分野のトップガンのような大学病院の医者もいれば、地方の総合病院の医者もいれば、町医者もいる。
セキュリティも幅広い知識が必要となるが、その広さと深さに応じて、大学病院クラスのセキュリティ担当、地方総合病院クラスのセキュリティ担当、町医者クラスのセキュリティ担当と別れるような気がしている。
大学病院クラスのセキュリティ担当はセキュリティ専業ベンダーを指すものと思われる。
地方総合病院クラスと、町医者クラスの分類が悩ましいのだが、有償のツールを使ってそれなりに分析できるのが地方総合病院クラス、無償のツールで必要最低限の分析を行うのが町医者クラスとなるのだろうか?
今日はそんな町医者クラスを満たすのに必要な脆弱性スキャンツールの紹介。
その名も、
OWASP Zed Attack Proxy(ZAP)
OWASPzapはOWASP(Open Web Application Security Projectの略。Webアプリケーションセキュリティの分野で自由に利用できる記事、方法論、ドキュメント、ツール、および技術を作成するオンラインコミュニティ)が開発したWebサイトの脆弱性スキャンツール。
Linux、Windowsで稼働し、日本語版もある。KaliLinuxには標準で搭載されている。
【参考】
OWASP ZAPの基本的な使い方
脆弱性診断研究会(Security Testing Workshop)
IPA安全なウェブサイトの作り方
OWASPWebシステム/Webアプリケーションセキュリティ要件書