WO2024062798A1

WO2024062798A1 - ウェブサイトを検査するためのシステム、方法、及びプログラム

Info

Publication number: WO2024062798A1
Application number: PCT/JP2023/029405
Authority: WO
Inventors: 俊春杉山; 真人安西
Original assignee: 株式会社エーアイセキュリティラボ
Priority date: 2022-09-20
Filing date: 2023-08-14
Publication date: 2024-03-28
Also published as: JP7390070B1; JP2024043712A

Abstract

本発明の一実施形態に係るウェブサイト検査サーバ１０は、ウェブサイトの検査を支援する。当該サーバ１０は、通信ネットワーク２０を介して通信可能に接続されているユーザ端末３０を操作するユーザに対して、当該ユーザによって指定されるウェブサイト２２を検査するウェブサイト検査サービスを提供する。当該サーバ１０は、検査対象のウェブサイト２２を検査する際の画面遷移を設定し、当該画面遷移に関する情報を表示する所定画面において、当該画面遷移に含まれる画面が有する要素であって、その選択操作に応じた遷移が画面遷移に含まれない要素が、画面遷移に新たな遷移を追加可能な追加可能要素として表示されるから、設定された画面遷移の容易な修正が可能となる。

Description

ウェブサイトを検査するためのシステム、方法、及びプログラム

　本発明は、ウェブサイトを検査するためのシステム、方法、及びプログラムに関するものである。

　従来、ウェブサイトを検査するための様々な技術が提案されている。例えば、下記特許文献１は、ウェブサイトのテストをより簡便に行えるように支援する技術を開示している。具体的には、当該文献には、ウェブサイトの複数の入力項目の各々の規約を推定し、推定された規約の各々に対応した入力値の集合を取得し、取得した入力値の集合から１つずつ要素を取り出して、複数の入力項目の各々に入力する要素の組を生成し、この結果、ほぼ自動的に、ウェブサイトのテスト用の入力値の組を作成できることが開示されている。

特開２０１９－１９１６８９号公報

　しかしながら、上述した従来の技術は、ウェブサイトの検査（テスト）用の入力値の作成を支援し得るが、ウェブサイトを検査する際には、入力値のみならず、当該ウェブサイトの検査のシナリオを設定する必要がある。例えば、ユーザによって手動で行われるウェブブラウザに対する操作を記録して、検査のシナリオとしての画面遷移を設定することも行われているが、設定された画面遷移の修正（例えば、一部の画面の追加等）については、改善の余地があった。

　本発明の実施形態は、ウェブサイトの検査を支援することを目的の一つとする。本発明の実施形態の他の目的は、本明細書全体を参照することにより明らかとなる。

　本発明の一実施形態に係るシステムは、１又は複数のコンピュータプロセッサを備え、ウェブサイトを検査するためのシステムであって、前記１又は複数のコンピュータプロセッサは、対象ウェブサイトを検査する際の画面遷移であって、第１画面が有する第１要素の選択操作に応じた第２画面への遷移を含む前記画面遷移を設定するステップと、前記画面遷移に従って、前記対象ウェブサイトを検査するステップと、前記画面遷移に関する情報を表示する所定画面を出力するステップと、を実行し、前記所定画面は、前記第１画面が有する第２要素であって、選択操作に応じた第３画面への遷移が前記画面遷移に含まれない前記第２要素を、選択操作に応じた新たな遷移を前記画面遷移に追加可能な追加可能要素として表示する。

　本発明の一実施形態に係る方法は、１又は複数のコンピュータによって実行され、ウェブサイトを検査するための方法であって、対象ウェブサイトを検査する際の画面遷移であって、第１画面が有する第１要素の選択操作に応じた第２画面への遷移を含む前記画面遷移を設定するステップと、前記画面遷移に従って、前記対象ウェブサイトを検査するステップと、前記画面遷移に関する情報を表示する所定画面を出力するステップと、を備え、前記所定画面は、前記第１画面が有する第２要素であって、選択操作に応じた第３画面への遷移が前記画面遷移に含まれない前記第２要素を、選択操作に応じた新たな遷移を前記画面遷移に追加可能な追加可能要素として表示する。

　本発明の一実施形態に係るプログラムは、ウェブサイトを検査するためのプログラムであって、１又は複数のコンピュータに、対象ウェブサイトを検査する際の画面遷移であって、第１画面が有する第１要素の選択操作に応じた第２画面への遷移を含む前記画面遷移を設定するステップと、前記画面遷移に従って、前記対象ウェブサイトを検査するステップと、前記画面遷移に関する情報を表示する所定画面を出力するステップと、を実行させ、前記所定画面は、前記第１画面が有する第２要素であって、選択操作に応じた第３画面への遷移が前記画面遷移に含まれない前記第２要素を、選択操作に応じた新たな遷移を前記画面遷移に追加可能な追加可能要素として表示する。

　本発明の様々な実施形態は、ウェブサイトの検査を支援する。

本発明の一実施形態に係るウェブサイト検査サーバ１０を含むネットワークの構成を概略的に示す構成図。検査管理テーブル１５２が管理する情報を例示する図。画面管理テーブル１５４が管理する情報を例示する図。要素管理テーブル１５６が管理する情報を例示する図。ウェブサイトの脆弱性を検査する際にウェブサイト検査サーバ１０が実行する処理を例示するフローチャート。対象サイト設定画面５０を例示する図。ウェブサイトの検査のための画面遷移を設定する際にウェブサイト検査サーバ１０が実行する処理を例示するフローチャート。検査結果一覧画面６０を例示する図。巡回結果確認画面７０を例示する図。画面遷移図２００を例示する図。画面オブジェクト２０２の詳細を例示する図。再巡回設定画面８０を例示する図。スクリーンショット画面９０を例示する図。検査結果確認画面２１０を例示する図。

　以下、図面を参照しながら、本発明の実施形態について説明する。各図面において、同一の又は類似する構成要素に対しては同一の参照符号が付され得る。

　図１は、本発明の一実施形態に係るウェブサイト検査サーバ１０を含むネットワークの構成を概略的に示す構成図である。サーバ１０は、図示するように、インターネット等の通信ネットワーク２０を介してユーザ端末３０と通信可能に接続されている。図１においては、１つのユーザ端末３０のみが図示されているが、サーバ１０は、複数のユーザ端末３０と通信可能に接続されている。ウェブサイト検査サーバ１０は、ユーザ端末３０を操作するユーザに対して、当該ユーザによって指定されるウェブサイト２２を検査するウェブサイト検査サービスを提供する。ウェブサイト検査サーバ１０は、本発明のシステムの全部又は一部を実装する装置の一例である。

　まず、ウェブサイト検査サーバ１０のハードウェア構成について説明する。ウェブサイト検査サーバ１０は、一般的なコンピュータとして構成されており、図１に示すように、コンピュータプロセッサ１１と、メインメモリ１２と、入出力Ｉ／Ｆ１３と、通信Ｉ／Ｆ１４と、ストレージ（記憶装置）１５とを備え、これらの各構成要素が図示しないバス等を介して電気的に接続されている。

　コンピュータプロセッサ１１は、ＣＰＵ又はＧＰＵ等として構成され、ストレージ１５等に記憶されている様々なプログラムをメインメモリ１２に読み込んで、当該プログラムに含まれる各種の命令を実行する。メインメモリ１２は、例えば、ＤＲＡＭ等によって構成される。

　入出力Ｉ／Ｆ１３は、操作者等との間で情報をやり取りするための各種の入出力装置を含む。入出力Ｉ／Ｆ１３は、例えば、キーボード、ポインティングデバイス（例えば、マウス、タッチパネル等）等の情報入力装置、マイクロフォン等の音声入力装置、カメラ等の画像入力装置を含む。また、入出力Ｉ／Ｆ１３は、ディスプレイ等の画像出力装置、スピーカー等の音声出力装置を含む。

　通信Ｉ／Ｆ１４は、ネットワークアダプタ等のハードウェア、各種の通信用ソフトウェア、又はこれらの組み合わせとして実装され、通信ネットワーク２０等を介した有線又は無線の通信を実現できるように構成されている。

　ストレージ１５は、例えば、磁気ディスク又はフラッシュメモリ等によって構成される。ストレージ１５は、オペレーティングシステムを含む様々なプログラム及び各種データ等を記憶する。例えば、ストレージ１５は、図１に示すように、個別の検査に関する情報を管理する検査管理テーブル１５２と、検査対象のウェブサイトの画面に関する情報を管理する画面管理テーブル１５４と、当該画面（ウェブページ）に含まれる要素に関する情報を管理する要素管理テーブル１５６とを有する。また、例えば、ストレージ１５は、本発明の一実施形態に係るサーバ側プログラム４０を記憶する。当該プログラム４０は、サーバ１０を、ウェブサイト検査サービスを提供するためのシステムの全部又は一部として機能させるためのプログラムである。サーバ側プログラム４０の少なくとも一部は、後述する端末側プログラム４２を介して、ユーザ端末３０側において実行されるように構成され得る。

　本実施形態において、ウェブサイト検査サーバ１０は、それぞれが上述したハードウェア構成を有する複数のコンピュータを用いて構成され得る。例えば、サーバ１０は、複数のサーバ装置によって構成される。

　このように構成されたウェブサイト検査サーバ１０は、ウェブサーバ及びアプリケーションサーバとしての機能を有するように構成することができ、ユーザ端末３０からの要求に応答して各種の処理を実行し、当該処理の結果に応じた画面データ（例えば、ＨＴＭＬデータ）及び制御データ等をユーザ端末３０に対して送信する。ユーザ端末３０では、受信したデータに基づくウェブページ又はその他の画面が出力される。

　次に、ユーザ端末３０のハードウェア構成について説明する。ユーザ端末３０は、一般的なコンピュータとして構成されており、図１に示すように、コンピュータプロセッサ３１と、メインメモリ３２と、入出力Ｉ／Ｆ３３と、通信Ｉ／Ｆ３４と、ストレージ（記憶装置）３５とを備え、これらの各構成要素が図示しないバス等を介して電気的に接続されている。

　コンピュータプロセッサ３１は、ＣＰＵ又はＧＰＵ等として構成され、ストレージ３５等に記憶されている様々なプログラムをメインメモリ３２に読み込んで、当該プログラムに含まれる各種の命令を実行する。メインメモリ３２は、例えば、ＤＲＡＭ等によって構成される。

　入出力Ｉ／Ｆ３３は、操作者等との間で情報をやり取りするための各種の入出力装置を含む。入出力Ｉ／Ｆ３３は、例えば、キーボード、ポインティングデバイス（例えば、マウス、タッチパネル等）等の情報入力装置、マイクロフォン等の音声入力装置、カメラ等の画像入力装置を含む。また、入出力Ｉ／Ｆ３３は、ディスプレイ等の画像出力装置、スピーカー等の音声出力装置を含む。

　通信Ｉ／Ｆ３４は、ネットワークアダプタ等のハードウェア、各種の通信用ソフトウェア、及びこれらの組み合わせとして実装され、通信ネットワーク２０等を介した有線又は無線の通信を実現できるように構成されている。

　ストレージ３５は、例えば、磁気ディスク又はフラッシュメモリ等によって構成される。ストレージ３５は、オペレーティングシステムを含む様々なプログラム及び各種データ等を記憶する。ストレージ３５が記憶するプログラムは、アプリケーションマーケット等からダウンロードされてインストールされ得る。また、ストレージ３５は、上述した端末側プログラム４２を記憶する。当該プログラム４２は、ウェブブラウザ、又は、その他のアプリケーション（例えば、本実施形態のウェブサイト検査サービス用のユーザ端末側アプリケーション等）として構成され、上述したように、サーバ側プログラム４０の少なくとも一部を実行するように構成され得る。

　本実施形態において、ユーザ端末３０は、スマートフォン、タブレット端末、又はパーソナルコンピュータ等として構成され得る。

　このように構成されたユーザ端末３０を操作するユーザは、ストレージ３５等にインストールされている端末側プログラム４２を介したサーバ１０との通信を実行することによって、当該サーバ１０が提供するウェブサイト検査サービスを利用することができる。

　次に、このように構成されたウェブサイト検査サーバ１０が有する機能について説明する。サーバ１０のコンピュータプロセッサ１１は、図１に示すように、メインメモリ１２に読み込まれたプログラム（例えば、サーバ側プログラム４０の少なくとも一部）に含まれる命令を実行することによって、管理機能制御部１１２、画面遷移設定部１１４、及び、ウェブサイト検査部１１６として機能するように構成されている。

　管理機能制御部１１２は、ウェブサイト検査サービスの管理機能の制御に関する様々な処理を実行するように構成されている。例えば、管理機能制御部１１２は、当該管理機能に関する様々な画面の画面データ及び制御データ等をユーザ端末３０に対して送信し、ユーザ端末３０において出力される当該画面を介したユーザによる操作入力に応答して様々な処理を実行し、当該処理の結果に応じた画面データ及び制御データ等をユーザ端末３０に対して送信する。管理機能制御部１１２によって制御される管理機能は、例えば、ログイン処理（ユーザ認証）、課金制御、及び、ユーザアカウントの管理等を含む。

　画面遷移設定部１１４は、ウェブサイト２２を検査する際の画面遷移の設定に関する様々な処理を実行するように構成されている。当該画面遷移は、例えば、当該ウェブサイト２２を構成する特定のウェブページに対応する第１画面が有する第１要素の選択操作に応じた第２画面への遷移を含む。こうした要素は、ウェブページを構成する画面構成要素のうち、その選択操作に応じて遷移が発生する要素と言うこともでき、例えば、リンク又はスクリプト等が設定された様々な種類のオブジェクト（ボタン、画像、及び、テキスト等）を含む。画面遷移は、検査のシナリオと言うこともでき、検査の範囲を示し得る。

　ウェブサイト検査部１１６は、ウェブサイト２２の検査に関する様々な処理を実行するように構成されている。本実施形態において、ウェブサイト検査部１１６は、設定された画面遷移に従って、ウェブサイト２２を検査するように構成されている。例えば、ウェブサイト検査部１１６は、ウェブブラウザを起動してウェブサイト２２の特定のウェブページ（例えば、画面遷移の始点となる画面に対応するウェブページ等）にアクセスし、その後、設定された画面遷移に従って、各画面が有する要素の選択操作を行って、対応する画面へと遷移する。そして、各画面においては、予め定められた検査項目を検査するための様々なリクエストをウェブサイト２２に対して送信し、当該ウェブサイト２２から受信したレスポンスの内容に基づいて、対応する検査項目について判断する。

　本実施形態において、ウェブサイト２２の検査は、様々な種類の検査を含む。例えば、当該検査は、ウェブサイト２２の脆弱性の検査（診断）を含む。また、例えば、当該検査は、ウェブサイト２２の性能、機能、その他の検査を含む。

　本実施形態において、画面遷移設定部１１４は、設定された画面遷移に関する情報を表示する所定画面を出力するように構成されている。例えば、画面遷移設定部１１４は、当該画面の画面データ及び制御データ等をユーザ端末３０に対して送信し、ユーザ端末３０において、当該所定画面が出力される。例えば、所定画面は、画面遷移の少なくとも一部に関する情報を表示し、又は、当該画面遷移に含まれる１の画面に関する情報を表示する。

　本実施形態において、上記所定画面は、設定された画面遷移に含まれる第１画面が有する第２要素であって、その選択操作に応じた第３画面への遷移が当該画面遷移に含まれない当該第２要素を、選択操作に応じた新たな遷移を画面遷移に追加可能な追加可能要素として表示するように構成されている。例えば、所定画面は、当該第２要素が追加可能要素であることが識別可能となるように、当該第２要素を表示する。

　このように、本実施形態におけるウェブサイト検査サーバ１０は、検査対象のウェブサイト２２を検査する際の画面遷移を設定し、当該画面遷移に関する情報を表示する所定画面において、当該画面遷移に含まれる画面が有する要素であって、その選択操作に応じた遷移が画面遷移に含まれない要素が、画面遷移に新たな遷移を追加可能な追加可能要素として表示されるから、設定された画面遷移の容易な修正が可能となる。このように、ウェブサイト検査サーバ１０は、ウェブサイトの検査を支援する。

　本実施形態において、上記所定画面は、様々な態様で、上述した追加可能要素を表示するように構成することができる。例えば、所定画面は、追加可能要素であることを示す所定情報を関連付けて、追加可能要素を表示する。例えば、所定画面は、当該所定情報としての所定オブジェクトが追加可能要素の位置に配置された、対応する画面（画面キャプチャを含む。）を表示するように構成される。所定オブジェクトは、様々な種類のオブジェクトとして構成することができ、例えば、ボックス、直線、円、又は、その他の形状を有するオブジェクトとして構成することができる。こうした構成は、画面に配置される所定オブジェクト等の情報によって、追加可能要素を示すことを可能とする。

　本実施形態において、画面遷移設定部１１４は、設定された画面遷移を更新（修正）するように構成され得る。例えば、画面遷移設定部１１４は、上記所定画面を介した、追加可能要素の特定を伴う指示に応答して、当該特定された要素の選択操作に応じた遷移を画面遷移に追加する。この場合、画面遷移設定部１１４は、当該特定された要素の選択操作に応じた遷移の画面遷移への追加に応じて、追加された遷移の遷移先の画面が有する要素の選択操作に応じた新たな画面への更なる遷移を画面遷移に追加するように構成することもできる。こうした構成は、設定された画面遷移のより一層の容易な修正を可能とする。

　本実施形態において、ウェブサイト検査部１１６は、上記所定画面を介した、追加可能要素の特定を伴う指示に応答して、当該特定された要素の選択操作に応じて遷移する遷移先の画面を検査するように構成され得る。こうした構成は、追加可能要素の選択操作に応じた遷移先の画面に対する個別の検査を可能とする。

　本実施形態において、画面遷移設定部１１４は、ウェブブラウザの自動操作によってウェブサイト２２の複数の画面を巡回し、これらの複数の画面の少なくとも一部を含む画面遷移を設定するように構成され得る。この場合、画面遷移設定部１１４は、巡回した複数の画面のうちの重複する画面が除外されるように、画面遷移を設定するように構成され得る。こうした画面の重複は、例えば、２つの画面間の類似度に少なくとも基づいて判断される。こうした構成は、ウェブブラウザの自動操作によって巡回された複数の画面の一部（例えば、重複する画面が除外された画面等）を含む画面遷移の設定を可能とする。

　次に、このような機能を有する本実施形態のウェブサイト検査サーバ１０の一態様としての具体例について説明する。この具体例におけるサーバ１０は、ウェブサイト検査サービスの一例として、ウェブサイトの脆弱性を検査する脆弱性検査サービスを提供する。

　まず、この例において、各テーブルが管理する情報について説明する。図２は、この例において、検査管理テーブル１５２が管理する情報を例示する。この例における検査管理テーブル１５２は、個別の検査の案件に関する情報を管理し、図示するように、個別の検査（案件）を識別する「検査ＩＤ」に対応付けて、検査対象のウェブサイトの検査の起点となるトップ画面（トップページ）のＵＲＬである「トップ画面ＵＲＬ」、画面遷移の更新日時である「画面遷移更新日時」、検査の実行日時である「検査実行日時」等の情報を管理する。

　図３は、この例において、画面管理テーブル１５４が管理する情報を例示する。この例における画面管理テーブル１５４は、検査対象のウェブサイトの複数の画面のうち、設定された画面遷移に含まれる画面に関する情報を管理し、図示するように、個別の検査を識別する「検査ＩＤ」、及び、検査対象のウェブサイトにおいて個別の画面を識別する「画面ＩＤ」の組合せに対応付けて、当該画面のＵＲＬである「画面ＵＲＬ」、当該画面の画面キャプチャに関する情報である「画面キャプチャ情報」、当該画面の遷移元の画面を識別する「遷移元画面ＩＤ」、当該画面の遷移元の要素（当該画面に遷移する際にクリックされた要素）を識別する「遷移元要素ＩＤ」、当該画面の検査結果に関する情報である「検査結果情報」等の情報を管理する。

　図４は、この例において、要素管理テーブル１５６が管理する情報を例示する。この例における要素管理テーブル１５６は、検査対象のウェブサイトの各画面（ウェブページ）に含まれる複数の遷移対象要素の各々に関する情報を管理し、図示するように、個別の検査を識別する「検査ＩＤ」、検査対象のウェブサイトにおいて個別の画面を識別する「画面ＩＤ」、及び、当該画面において個別の要素を識別する「要素ＩＤ」の組合せに対応付けて、当該要素のラベルに関する情報である「ラベル情報」、当該要素の画面（ウェブページ）上の座標位置に関する情報である「座標位置情報」、当該要素の構造上の位置に関する情報（ＤＯＭ情報）である「構造位置情報」、画面遷移における当該要素に対するクリック操作の要否を示す「クリック要否フラグ」、当該要素に対するクリック操作の際に必要な入力項目に関する情報である「必須入力項目情報」等の情報を管理する。

　以上、この例において、各テーブルが管理する情報について説明した。次に、この例において、ウェブサイト検査サーバ１０が実行する処理、及び、ユーザ端末３０において出力される画面等について説明する。

　図５は、この例において、ウェブサイトの脆弱性を検査する際にウェブサイト検査サーバ１０が実行する処理を例示するフローチャートである。サーバ１０は、まず、図示するように、脆弱性を検査する対象のウェブサイトの設定を受け付ける（ステップＳ１００）。こうした設定の受付は、ユーザ端末３０において出力される画面を介して行われる。

　図６は、ユーザ端末３０において出力される、検査対象のウェブサイトの設定を受け付けるための対象サイト設定画面５０を例示する。当該画面５０は、図示するように、検査対象のウェブサイトのトップ画面（トップページ）のＵＲＬを入力するためのＵＲＬ入力領域５２と、当該ウェブサイトへのログインに用いられるログインＩＤを入力するためのログインＩＤ入力領域５４と、当該ウェブサイトへのログインに用いられるパスワードを入力するためのパスワード入力領域５６と、「巡回・検査開始」というテキストが付加された続行ボタン５８とを有する。このように、この例では、検査対象のウェブサイトの設定情報として、トップ画面のＵＲＬ、ログインＩＤ、及び、パスワードが受け付けられる。

　続行ボタン５８は、検査対象のウェブサイトの画面の巡回（画面遷移の設定）及び検査を指示するためのオブジェクトである。図５のフローチャートに戻り、続行ボタン５８が選択されると、サーバ１０は、次に、検査対象のウェブサイトを巡回し、検査の際の画面遷移を設定する（ステップＳ１１０）。

　図７は、ウェブサイトの検査のための画面遷移を設定する際にサーバ１０が実行する処理を例示するフローチャートである。サーバ１０は、まず、図示するように、検査対象のウェブサイトのトップ画面にアクセスし、画面遷移に追加する（ステップＳ２００）。具体的には、ウェブブラウザが起動され、対象サイト設定画面５０を介して入力されたＵＲＬによって特定されるトップ画面へのアクセスが行われる。また、画面管理テーブル１５４において、当該トップ画面に関する情報が登録され、具体的には、検査ＩＤ、画面ＩＤ，画面ＵＲＬ、及び、画面キャプチャ情報が設定される。

　続いて、サーバ１０は、トップ画面に含まれる複数の遷移対象要素を特定して登録する（ステップＳ２１０）。具体的には、リンク又はスクリプト等が設定された画面構成要素（ボタン、画像、及び、テキスト等）が特定され、要素管理テーブル１５６において、各要素に関する情報が登録される。具体的には、検査ＩＤ、画面ＩＤ、要素ＩＤ、ラベル情報、座標位置情報、構造位置情報、及び、クリック要否フラグが設定される。この時点では、クリック要否フラグには、クリック操作が必要であることを示す値が設定される。

　こうして遷移対象要素が登録されると、次に、サーバ１０は、登録された要素をクリックし（ステップＳ２２０）、クリックに応じた遷移先の画面が、画面遷移への追加対象の画面である場合には（ステップＳ２３０においてＹＥＳ）、当該遷移先の画面への遷移を画面遷移に追加する（ステップＳ２４０）。具体的には、画面管理テーブル１５４において、遷移先の画面に関する情報が登録され、つまり、検査ＩＤ、画面ＩＤ，画面ＵＲＬ、画面キャプチャ情報、遷移元画面ＩＤ、及び、遷移元要素ＩＤが設定される。なお、遷移元画面ＩＤには、遷移元であるトップ画面を識別する画面ＩＤが設定され、遷移元要素ＩＤには、クリックされた要素を識別する要素ＩＤが設定される。

　また、この例では、遷移対象要素をクリックする際に、必須入力項目が存在する場合には、予め準備されている入力値（対象サイト設定画面５０を介して入力されたログインＩＤ及びパスワードの組合せを含む。）が自動的に設定される。自動的に設定された入力値は、要素管理テーブル１５６において、対応する要素の必須入力項目情報に登録される。

　一方、クリックに応じた遷移先の画面が、画面遷移への追加対象外の画面である場合には（ステップＳ２３０においてＮＯ）、当該画面への遷移は画面遷移に追加されず、対応する要素をクリック不要に設定する（ステップＳ２５０）。具体的には、要素管理テーブル１５６において、対応する要素のクリック要否フラグに対して、クリックが不要であることを示す値が設定される。

　ここで、この例では、以下の２つの画面は、画面遷移への追加対象外の画面と判断される。
（１）検査対象のウェブサイトの外部のサイトの画面
（２）既に画面遷移に含まれる画面と重複する画面

　（２）に関して、２つの画面間の重複は、この例では、これらの画面間の類似度に基づいて判断され、具体的には、当該類似度が閾値以上である場合に、２つの画面が重複すると判断される。類似度は、様々な基準を用いて算出することができ、例えば、画面（ページ）の内容、ＵＲＬ、及び、ＵＲＬパラメータの比較に基づいて算出することができる。

　そして、トップ画面に含まれる複数の遷移対象要素の全てについて、クリックに応じた遷移先画面への遷移の画面遷移への追加、又は、クリック不要の設定が行われると（ステップＳ２６０においてＮＯ）、次に、サーバ１０は、画面遷移に追加された各画面について、同様に、当該画面に含まれる複数の遷移対象要素の特定及び登録（ステップＳ２８０）、並びに、各要素のクリックに応じた遷移の画面遷移への追加、又は、クリック不要の設定（ステップＳ２２０～Ｓ２６０）を行う。こうした処理は、画面遷移への新たな画面の追加がなくなるまで（ステップＳ２７０においてＮＯ）の間、繰り返し行われる。

　図５のフローチャートに戻り、こうして画面遷移が設定されると、続いて、サーバ１０は、設定された画面遷移に従って、脆弱性の検査を実行する（ステップＳ１２０）。具体的には、ウェブブラウザを起動し、画面管理テーブル１５４及び要素管理テーブル１５６において管理されている情報に従って、画面遷移に含まれる各画面を順に訪れて、予め定められた脆弱性の検査項目の検査を行う。脆弱性の検査項目は、例えば、ＯＷＡＳＰ　Ｔｏｐ１０において規定されている項目を含む。検査結果は、画面管理テーブル１５４の検査結果情報に登録される。

　図８は、ユーザ端末３０において出力される検査結果一覧画面６０を例示する。当該画面６０には、図示するように、各々が個別の検査（案件）に対応する１又は複数の個別表示領域６２が上下方向に並べて配置される。

　個別表示領域６２は、検査に関する情報（検査対象のウェブサイトのトップ画面に関する情報、画面遷移の更新日時、検査実行日時等）を表示し、その右側端部において、画面遷移図ボタン６２１と、検査結果ボタン６２２とを有する。

　画面遷移図ボタン６２１は、ウェブサイトの複数の画面の巡回結果として設定された画面遷移を、画面遷移図の形式で表示するためのオブジェクトである。当該ボタン６２１が選択されると、図９に例示する巡回結果確認画面７０が出力される。当該画面７０は、図示するように、画面遷移図を表示する画面遷移図表示領域７２と、戻るボタン７４とを有する。

　図１０は、画面遷移図表示領域７２において表示される画面遷移図２００を例示する。画面遷移図２００は、図示するように、画面遷移に含まれる各画面に対応する画面オブジェクト２０２と、２つの画面オブジェクト２０２を結ぶ連結オブジェクト２０４とを有する。画面オブジェクト２０２は、対応する画面の画面キャプチャを表示する。

　画面遷移図２００において、最も左側に位置する画面オブジェクト２０２は、検査対象のウェブサイトの検査の起点となるトップ画面に対応しており、当該トップ画面の画面オブジェクト２０２と、当該トップ画面から遷移する遷移先画面の画面オブジェクト２０２とが、連結オブジェクト２０４によって連結される。同様に、遷移元及び遷移先の関係を有する２つの画面オブジェクト２０２が、連結オブジェクト２０４によって連結される。こうした画面遷移に含まれる画面間の関係は、画面管理テーブル１５４において管理されている。

　連結オブジェクト２０４は、円の形状を有する左側端部が、遷移元画面の画面オブジェクト２０２における遷移元要素（遷移の際にクリックされた要素）の位置に配置される。

　図１０は、画面オブジェクト２０２の詳細を例示する。画面オブジェクト２０２は、図示するように、その下端部にメニュー領域２０６を有する。当該領域２０６には、拡大メニューアイコン２０６１、再巡回メニューアイコン２０６３、及び、削除メニューアイコン２０６５が配置されている。拡大メニューアイコン２０６１は、画面オブジェクト２０２を拡大表示するためのオブジェクトであり、削除メニューアイコン２０６５は、画面オブジェクト２０２に対応する画面を、画面遷移から削除するためのオブジェクトである。

　再巡回メニューアイコン２０６３は、新たな遷移を画面遷移に追加するためのオブジェクトである。当該アイコン２０６３が選択されると、図１２に例示する再巡回設定画面８０（所定画面）が出力される。当該画面８０は、図示するように、新たにクリックの対象とする（再巡回する）遷移対象要素を指定するための再巡回要素指定領域８２と、「スクリーンショットから指定」というテキストが付加されたスクリーンショット指定ボタン８４と、再巡回ボタン８６とを有する。再巡回要素指定領域８２は、ドロップダウンリストの形式で、対応する画面（再巡回メニューアイコン２０６３が選択された画面オブジェクト２０２に対応する画面）に含まれる遷移対象要素のうち、クリック不要に設定されている（未巡回の）要素（要素管理テーブル１５６において管理されている。）の中から１の要素を選択できるように構成されている。当該領域８２において、各遷移対象要素は、ラベル情報、及び、構造位置情報（ＤＯＭ情報）によって特定（表示）される。

　スクリーンショット指定ボタン８４は、対応する画面の画面キャプチャ（スクリーンショット）から、新たにクリックの対象とする要素を選択するためのオブジェクトである。当該ボタン８４が選択されると、図１３に例示するスクリーンショット画面９０（所定画面）が出力される。当該画面９０は、画面領域全体において、対応する画面の画面キャプチャを表示する。

　また、図１３に例示するスクリーンショット画面９０には、複数の未巡回要素ボックス９２（所定オブジェクト）が配置されている。当該ボックス９２は、塗りつぶしなしの（透明な）長方形の外観を有しており、対応する画面に含まれる複数の遷移対象要素のうち、クリック不要と設定されている要素の位置に配置されている。こうした要素の画面上の位置は、要素管理テーブル１５６の座標位置情報において管理されている。ユーザは、こうした未巡回要素ボックス９２によって、未巡回の要素を視覚的に容易に把握することができる。なお、クリック不要と設定されている要素の位置に、未巡回要素ボックス９２に代えて、その他の外観を有するオブジェクトを配置するようにしてもよい。

　本実施形態の他の例において、スクリーンショット画面９０に相当する画面は、画面キャプチャに代えて、ＨＴＭＬデータを再現して描画された画面（ウェブページ）を表示し、この場合、未巡回要素ボックス９２（クリック不要と設定されている要素）の当該画面上の位置は、要素管理テーブル１５６の構造位置情報を用いて特定される。

　スクリーンショット画面９０において、何れかの未巡回要素ボックス９２が選択されると、選択されたボックス９２に対応する要素が、再巡回設定画面８０の再巡回要素指定領域８２に設定される。そして、当該画面８０の再巡回ボタン８６が選択されると、当該領域８２に設定されている遷移対象要素のクリックに応じた遷移先画面への新たな遷移が画面遷移に追加され、当該遷移先の画面について、遷移対象要素の特定及び登録、並びに、各遷移対象要素のクリックに応じた遷移の画面遷移への追加、又は、当該要素のクリック不要の設定が繰り返し行われる（図７に例示したフローチャートのステップＳ２２０～Ｓ２８０を参照。）。このように、ユーザは、再巡回設定画面８０を介して、設定されている画面遷移に対する新たな遷移の追加を容易に行うことができる。ユーザは、その後、修正された画面遷移に従う再度の検査を、個別に指示することができる。

　図８の検査結果一覧画面６０に戻り、検査結果ボタン６２２は、検査結果を閲覧するためのオブジェクトである。当該ボタン６２２が選択されると、図１４に例示する検査結果確認画面２１０が出力される。当該画面２１０は、図示するように、脆弱性の検査結果を一覧表示する一覧表示領域２１２を有する。当該領域２１２は、各画面の脆弱性の検査結果（深刻度、脆弱性名、検出箇所、及び、脆弱箇所等）を一覧表示する。これらの情報は、画面管理テーブル１５４の検査結果情報において管理されている。

　上述した例では、クリック不要と設定されている遷移対象要素が、再巡回設定画面８０の再巡回要素指定領域８２において、ドロップダウンリストの形式で選択できるように表示され、また、スクリーンショット画面９０において、未巡回要素ボックス９２が付加されて表示されるようにしたが、こうした遷移対象要素を表示する形式は、これに限定されない。本実施形態の他の例では、クリック不要と設定されている遷移対象要素は、クリックに応じた遷移を画面遷移に追加可能な追加可能要素として（こうした追加可能要素であることが識別されるように）、様々な態様で表示され得る。

　上述した例では、再巡回設定画面８０を介して、画面遷移に対する新たな遷移の追加が行われるようにしたが、これに代えて、又は、これに加えて、（画面遷移への追加なしでも）新たな遷移の遷移先の画面の個別の検査が行われるようにしてもよい。

　上述した例では、ウェブサイトの脆弱性を検査する脆弱性検査サービスが提供されるようにしたが、本実施形態の他の例では、脆弱性以外の他の観点での様々な検査が行われ、例えば、ウェブサイトのその他の性能、及び、機能等の検査が行われる。

　以上説明した本実施形態に係るウェブサイト検査サーバ１０は、検査対象のウェブサイト２２を検査する際の画面遷移を設定し、当該画面遷移に関する情報を表示する所定画面（例えば、再巡回設定画面８０、又は、スクリーンショット画面９０）において、当該画面遷移に含まれる画面が有する要素であって、その選択操作に応じた遷移が画面遷移に含まれない要素が、画面遷移に新たな遷移を追加可能な追加可能要素として表示される（例えば、再巡回要素指定領域８２においてドロップダウンリストの形式で選択できるように表示され、又は、スクリーンショット画面９０において未巡回要素ボックス９２が付加されて表示される）から、設定された画面遷移の容易な修正が可能となる。このように、ウェブサイト検査サーバ１０は、ウェブサイトの検査を支援する。

　本発明の他の実施形態において、上述した実施形態におけるウェブサイト検査サーバ１０が有する機能の一部又は全部は、ウェブサイト検査サーバ１０及びユーザ端末３０が協動することによって実現され、又は、ユーザ端末３０によって実現され得る。

　本明細書で説明された処理及び手順は、明示的に説明されたもの以外にも、ソフトウェア、ハードウェアまたはこれらの任意の組み合わせによって実現される。例えば、本明細書で説明される処理及び手順は、集積回路、揮発性メモリ、不揮発性メモリ、磁気ディスク等の媒体に、当該処理及び手順に相当するロジックを実装することによって実現される。また、本明細書で説明された処理及び手順は、当該処理・手順に相当するコンピュータプログラムとして実装し、各種のコンピュータに実行させることが可能である。

　本明細書中で説明された処理及び手順が単一の装置、ソフトウェア、コンポーネント、モジュールによって実行される旨が説明されたとしても、そのような処理または手順は複数の装置、複数のソフトウェア、複数のコンポーネント、及び／又は複数のモジュールによって実行され得る。また、本明細書において説明されたソフトウェアおよびハードウェアの要素は、それらをより少ない構成要素に統合して、またはより多い構成要素に分解することによって実現することも可能である。

　本明細書において、発明の構成要素が単数もしくは複数のいずれか一方として説明された場合、又は、単数もしくは複数のいずれとも限定せずに説明された場合であっても、文脈上別に解すべき場合を除き、当該構成要素は単数又は複数のいずれであってもよい。

Claims

　１又は複数のコンピュータプロセッサを備え、ウェブサイトを検査するためのシステムであって、前記１又は複数のコンピュータプロセッサは、
　対象ウェブサイトを検査する際の画面遷移であって、第１画面が有する第１要素の選択操作に応じた第２画面への遷移を含む前記画面遷移を設定するステップと、
　前記画面遷移に従って、前記対象ウェブサイトを検査するステップと、
　前記画面遷移に関する情報を表示する所定画面を出力するステップと、を実行し、
　前記所定画面は、前記第１画面が有する第２要素であって、選択操作に応じた第３画面への遷移が前記画面遷移に含まれない前記第２要素を、選択操作に応じた新たな遷移を前記画面遷移に追加可能な追加可能要素として表示する、
　システム。
　前記所定画面は、前記追加可能要素であることを示す所定情報を関連付けて前記第２要素を表示する、
　請求項１のシステム。
　前記所定画面は、前記所定情報としての所定オブジェクトが前記第２要素の位置に配置された前記第１画面を表示する、
　請求項２のシステム。
　前記１又は複数のコンピュータプロセッサは、さらに、前記所定画面を介した前記第２要素の特定を伴う指示に応答して、前記第２要素の選択操作に応じた前記第３画面への遷移を前記画面遷移に追加するステップを実行する、
　請求項１のシステム。
　前記１又は複数のコンピュータプロセッサは、さらに、前記第２要素の選択操作に応じた前記第３画面への遷移の前記画面遷移への追加に応じて、前記第３画面が有する第３要素の選択操作に応じた第４画面への遷移を前記画面遷移に追加するステップを実行する、
　請求項４のシステム。
　前記１又は複数のコンピュータプロセッサは、さらに、前記所定画面を介した前記第２要素の特定を伴う指示に応答して、前記第３画面を検査するステップを実行する、
　請求項１のシステム。
　前記検査するステップは、前記対象ウェブサイトの脆弱性を検査する、
　請求項１のシステム。
　前記画面遷移を設定するステップは、ウェブブラウザの自動操作によって前記対象ウェブサイトの複数の画面を巡回し、前記複数の画面の少なくとも一部を含む前記画面遷移を設定する、
　請求項１のシステム。
　前記画面遷移を設定するステップは、前記複数の画面のうちの重複する画面が除外されるように前記画面遷移を設定する、
　請求項８のシステム、
　前記画面遷移を設定するステップは、２つの画面間の類似度に少なくとも基づいて、画面の重複を判断する、
　請求項９のシステム。
　１又は複数のコンピュータによって実行され、ウェブサイトを検査するための方法であって、
　対象ウェブサイトを検査する際の画面遷移であって、第１画面が有する第１要素の選択操作に応じた第２画面への遷移を含む前記画面遷移を設定するステップと、
　前記画面遷移に従って、前記対象ウェブサイトを検査するステップと、
　前記画面遷移に関する情報を表示する所定画面を出力するステップと、を備え、
　前記所定画面は、前記第１画面が有する第２要素であって、選択操作に応じた第３画面への遷移が前記画面遷移に含まれない前記第２要素を、選択操作に応じた新たな遷移を前記画面遷移に追加可能な追加可能要素として表示する、
　方法。
　ウェブサイトを検査するためのプログラムであって、１又は複数のコンピュータに、
　対象ウェブサイトを検査する際の画面遷移であって、第１画面が有する第１要素の選択操作に応じた第２画面への遷移を含む前記画面遷移を設定するステップと、
　前記画面遷移に従って、前記対象ウェブサイトを検査するステップと、
　前記画面遷移に関する情報を表示する所定画面を出力するステップと、を実行させ、
　前記所定画面は、前記第１画面が有する第２要素であって、選択操作に応じた第３画面への遷移が前記画面遷移に含まれない前記第２要素を、選択操作に応じた新たな遷移を前記画面遷移に追加可能な追加可能要素として表示する、
　プログラム。