OWASP ZAP

1. サービス概要

OWASP ZAP（Zed Attack Proxy）は、世界で最も広く利用されているオープンソースのWebアプリケーションセキュリティスキャナーである。OWASP（Open Worldwide Application Security Project）のフラッグシッププロジェクトとして、Webアプリケーションの脆弱性を自動および手動で検出するための包括的なツールを提供している。

主な特徴は以下の通り。

• 完全無償のオープンソースDASTツール
• インターセプトプロキシ機能（リクエスト/レスポンスの傍受・改変）
• アクティブスキャンおよびパッシブスキャン
• 自動クローラーによるWebアプリケーションの探索
• ファジング機能
• WebSocket対応
• Ajax Spider（JavaScriptレンダリングページのクローリング）
• 豊富なアドオン・拡張機能（ZAP Marketplace）
• REST APIによるプログラマティックな操作
• CI/CDパイプラインへの統合
• Docker公式イメージの提供
• 多言語対応のGUI
• OWASP Top 10の脆弱性検出に対応
• Apache 2.0ライセンス

セキュリティ初学者からプロフェッショナルまで幅広い層に利用されており、商用DASTツールの代替として多くの組織で採用されている。

2. 使用している技術スタック

• 開発言語: Java
• GUI: Swing（Java GUI フレームワーク）
• プロキシエンジン: 独自のHTTP/HTTPSプロキシ
• スキャンエンジン: 独自開発（プラグインアーキテクチャ）
• Ajax Spider: Crawljax / Selenium WebDriver
• スクリプティング: JavaScript（Nashorn/GraalVM）、Python（Jython）、Ruby（JRuby）、Zest
• API: REST API
• 配布: JAR、インストーラー、Docker
• ライセンス: Apache License 2.0
• リポジトリ: GitHub（zaproxy/zaproxy）

3. 会社概要

項目	内容
プロジェクト名	OWASP ZAP（Zed Attack Proxy）
所属	OWASP Foundation（フラッグシッププロジェクト）
初版リリース	2010年
ライセンス	Apache License 2.0
種別	オープンソースプロジェクト
GitHubスター	12,000以上
ダウンロード数	累計数百万回
コミュニティ	グローバル、数千名のコントリビューター

4. 沿革、資本構成、国籍、役員情報

沿革

• 2010年: Simon BennettsによりOWASP ZAPの初版がリリース。Paros Proxyのフォークとして開発を開始
• 2013年: OWASPフラッグシッププロジェクトに昇格。世界的に広く利用されるDASTツールに成長
• 2014年〜2019年: 継続的なアップデート。Ajaxスパイダー、WebSocket対応、HUD（Heads Up Display）機能などを追加
• 2020年: ZAP 2.10リリース。自動化フレームワークの導入
• 2021年: Simon BennettsがMozillaを離れ、ZAPのフルタイム開発を継続。Automation Framework機能の拡充
• 2023年: ZAP 2.14リリース。CI/CD統合の改善。Simon Bennettsがリードメンテナーを退任する旨を発表し、Checkmarxが商用サポートを開始
• 2024年: コミュニティ主導の開発継続。ZAPの将来的な持続可能性について議論

資本構成

• 非営利のOWASP Foundationの傘下プロジェクト
• 資金調達は行っておらず、寄付・スポンサーシップ・ボランティアベース
• 一時期MozillaがSimon Bennettsをフルタイムで雇用し開発を支援
• Checkmarxが商用サポート版を提供

国籍

• 国際プロジェクト（OWASP Foundationは米国の非営利団体）
• 創始者Simon Bennettsは英国出身

役員情報

役職	氏名	備考
創始者 / 元リードメンテナー	Simon Bennetts	英国出身。元Mozillaセキュリティエンジニア。ZAPを10年以上にわたりリード
OWASP Foundation	グローバルボード	非営利団体として全OWASPプロジェクトを統括