Mozilla Japan ブログ

Mozilla、Firefox、Thunderbird の最新情報をお伝えします

個別記事アーカイブ

Mozilla は Web をセキュリティのプラットフォームとするための活動を続けています

Mozilla は Web をセキュリティのプラットフォームとするための活動を続けています。これは、Web をすべての人々にとってオープン、イノベーション、機会をもたらすためのプラットフォームとして前進させていくという Mozilla の重要なミッションの一つです。現在、このセキュリティのプラットフォームは、ファジングとして知られる高度な自動セキュリティテスト技術に関して Mozilla と BlackBerry が進める共同研究と、Mozilla が公開するオープンソースの Application Security as a Service Platform (サービスプラットフォームとしてのアプリケーションセキュリティ) である Minion によって、さらに進化しています。これらの研究活動は、Mozilla がWeb のセキュリティを強化し、Firefox のユーザを保護するために行っている多くの活動の一環です。

Mozilla と BlackBerry がファジングで協力

Mozilla と BlackBerry は、セキュリティ調査手法の故障注入の分野で共同研究を行っています。故障注入 (別名「ファジング」) とはセキュリティを自動的にテストする手法であり、このテストを行うことによって、セキュリティ上の潜在的な問題を特定し、ユーザがリスクにさらされる前にその問題を修正できます。故障注入は、特別に設計したソフトウェアを作成して、予測できない、あるいは不正な形式のさまざまなデータを特定のアプリケーション、プログラム、またはコード領域に挿入するテスト手法です。そのソフトウェアの中で、不正な形式のデータを適切に処理できない領域を明らかにすることが目的です。故障注入によって、セキュリティ上の潜在的な弱点がユーザの脅威となる前にその弱点を特定することが可能になります。

Fuzzing-for-Bugs-BlackBerry-Mozilla1.jpg

現在、共同研究の具体的な対象となっているのは オープンソースのファジングフレームワークで Peach v2 ですが、今後は他のファジングソフトウェアも研究対象に含める予定です。Mozilla と BlackBerry は、Peach ファジングソフトウェアの機能を向上させ、Web ブラウザのテストに使用するための研究を共同で行っています。今後はファジングの手法やアプローチについても共同研究を行い、両社のユーザに提供するセキュリティ保護を強化していきます。

Mozilla はすでに Peach を使用して、さまざまな HTML5 機能に対するファジングテストを実施して開発に役立てています。たとえば、画像形式、音声・ビデオ形式、フォント、WebGL や WebAudio などのマルチメディア API、さらには最新の WebRTC 用プロトコルなどのテストに活用しています。このテストによって、両社はユーザにとって何らかのリスクをもたらす前に修正できる可能性のある問題を特定しました。このテストは非常に効果的であり、Firefox と Firefox OS のユーザのセキュリティ維持に役立つことが明らかになっています。

BlackBerry は長年の間、自社プラットフォームのセキュリティ問題を特定するために大規模な自動テストを使用してきました。Mozilla との共同研究は BlackBerry の既存のセキュリティプロセスとセキュリティインフラストラクチャに直接関わるものです。BlackBerry では、自社の製品およびサービスポートフォリオ全体の潜在的なセキュリティ問題を特定して対処するため、自社独自のファジングツール、静的解析、脆弱性調査に加え、サードパーティ製のファジングツールも常用しています。

BlackBerry のセキュリティ対応担当役員兼脅威アナリストである Adrian Stone 氏は、 Mozilla と BlackBerry の研究者たちが行っている研究と、それがお客様にもたらすメリットに大いに期待していると言います。「セキュリティは業界全体の課題であり、一社が単独で解決できるものではありません。BlackBerry と Mozilla のセキュリティ研究者たちが、モバイルユーザとデスクトップユーザの両方に影響を及ぼすブラウザの脅威を事前に検出する、新しく革新的なツールの開発を共同で進めているのも、そのためです。この共同研究で、BlackBerry と Mozilla はお客様のセキュリティ保護を強化し、脅威の全貌をより適切に把握するという共通の目的達成に向けて協力し合っています」。

これまでファジング分野で共同研究を進めてきた Mozilla と BlackBerry は、オープン Web でユーザを保護するために、自動セキュリティテスト手法の研究を続けることが重要であると認識しています。

Mozilla が Minion を公開

Mozilla は、開発者とセキュリティの専門家向けに開発されたセキュリティテストプラットフォーム、Minion を公開しました。Minion は無料のオープンソースで、利用が可能です。現在も開発が進められており、多くの新機能が開発中です。

Minion テストプラットフォームは、ファジングとは異なる自動セキュリティテスト手法を採用し、セキュリティ専門家による検証を必要とせず、修正や対応が可能な結果が得られることを重視しています。多くのセキュリティツールは大量のデータを生成しますが、その中には誤って検出された問題も含まれるため、セキュリティの専門家が多くの時間をかけて専門的な調査をしなければならない場合があります。Minion は正確さとシンプルさを重視しており、セキュリティの専門家であるか否かを問わず、すべての開発者がこのプラットフォームを使用してアプリケーションのセキュリティを強化できるように設計されています。

Mozilla は実用的なセキュリティツールを開発者に提供することによって、今後も Web のセキュリティ強化を進めていきます。

-- Michael Coates, Director of Security Assurance

[これは米国 Mozilla ブログの記事 Mozilla Continues to Build the Web as a Platform for Security の抄訳です。文中リンク先は英語となりますのでご了承ください]

前後の記事

前の記事: Firefox Flicks 2013 早期エントリ賞 第 3 回目受賞作品決定!
次の記事: あの「フォクすけの壁紙メーカー」が高解像度端末に対応するなどパワーアップして帰って来ました!