脆弱性セルフ診断ツール

本事業では、地方公共団体を対象として、庁内のイントラネットから脆弱性診断ができるツールを無償で提供しております。

事業目的

当機構では、平成28年度まで地方公共団体のWebサイトやインターネットに接続するネットワークについて、その脆弱性を診断する「自動診断システムによる脆弱性診断事業」を実施しておりましたが、自治体情報セキュリティクラウドの構築により、インターネット側からの診断が難しい状況となりました。しかし、当機構ではウェブアプリケーション等の脆弱性診断は必要と認識しているところであり、さらに団体からの要望もあったことから、庁内のイントラネット側から脆弱性診断ができるツールを当機構が開発し、提供することとしました。
この診断ツールを使用し、地方公共団体が自らWebサイト等の脆弱性を診断することで、安全なWebサイトの運用を図ることを目的としています。

事業概要

脆弱性セルフ診断ツールでは、診断をオープンソースのソフトウェアであるOWASP ZAP 及び OpenVASを利用しております。脆弱性セルフ診断ツールは、仮想OSイメージ（CentOS Linux）で提供いたします。脆弱性セルフ診断ツールはホストPC上の仮想マシン基板（VirtualBox）上で動作し、ホストPCからブラウザ経由で操作できます。

本ツールでは以下の診断を行うことができます。

・Web診断
検出されたフォームやページに対し、SQLインジェクションやOSコマンドインジェクションなどの擬似攻撃を実施し、外部からの攻撃に利用される未知の脆弱性がないか調査を行います。

・プラットフォーム診断
IPアドレスを持つ機器（サーバ、クライアントPC、ルータ等）で稼動しているOSや、OS上で稼動しているミドルウェアのセキュリティに関する設定の不備や、該当ミドルウェアのバージョンに既知の脆弱性がないかネットワーク越しに調査を行います。

入手方法