GoogleがApp Engine上のアプリケーションのセキュリティをチェックするサービスGoogle Cloud Security Scannerをローンチ

Googleが今日(米国時間2/19)、同社のPaaSサービスGoogle App Engineを使っているデベロッパのための、新しいセキュリティツールをローンチした。その、Google Cloud Security Scannerと呼ばれるツールは、ユーザ(デベロッパ)のアプリケーションを定期的にスキャンして、クロスサイトスクリプティング混成コンテンツ(mixed content)に対する脆弱性をチェックする。

こんなツールを提供するのはもちろんGoogleが初めてではないが、今日の発表声明の中で、既存のツールは“必ずしもGoogle App Engineのデベロッパには向いていない”、と主張している。しかも既存のツールはセットアップが難しくて、デベロッパではなく“セキュリティの専門家向けだ”、とも言っている。

そのチェックを動かすためにGoogleは、ユーザのサイトをスキャンする小さなボットネットをCompute Engine上にセットアップする。HTTPリクエストは毎秒約15リクエストに抑えられ、 App Engineが問題なくそれらを処理できるようにする。

最初の実行ではスキャナーがユーザのサイトとアプリケーションを素早くクロールして、その基本的なHTMLのコードを解析する。それから、Googleの説明によると、二度目のスキャンではサイトの完全な表示(レンダリング)を行い、アプリケーションのもっと複雑な部分を調べる。それが済むとツールは、無害なペイロードにより、攻撃を試みる。それからChrome DevToolsのデバッガでブラウザとDOMの、攻撃の前とあとで変わった箇所を調べ、不正コードの注入に成功したかをチェックする。成功していたら、今後マルウェア等にやられる可能性がある。

デバッガを使うことによってGoogleは誤判断を避けようとしているが、それでも、見逃すバグがあるかもしれない、とも言っている。しかしGoogleによると、“デベロッパにとってセキュリティのチェックは、労力もノイズも少ないものが望まれているから、このトレードオフは前向きにとらえたい…”、と言っている。

スキャナーは、すべての入力フィールドに何かを書き込み、すべてのボタンやリンクをクリックしてみるから、アプリケーションの機能を実際に動かしてしまう可能性もある。たとえば、ブログのコメント欄に、“毎週9000ドル稼げる”というスパムが載ってしまうかもしれない。それを防ぐためには、Googleの推奨では、スキャナーをテスト用のサイトで動かすか、または臨時のCSSコードによってUIの一部を不活にしたり、一部のURLを排除するとよい。

スキャナーの利用は無料だが、ユーザのクォータの制限量や帯域に対する料金に影響が及ぶことは、あるかもしれない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。