バックナンバーはこちら

today&tomorrow

Technology Update

  • T&T HOME
  • Technology Update
  • ファジング・テスト(Defensics) スマートなファジングで脆弱性をすぐに修正し、リリースの安全性を向上

2018 vol.110

ファジング・テスト(Defensics)
スマートなファジングで脆弱性をすぐに修正し、リリースの安全性を向上

外部調達か内製かを問わず、ビジネスを支えるソフトウェアの脆弱性を洗い出し、ソフトウェアの堅牢性とシステムの相互運用性を高めます。

製品概要

シノプシスのファジング・テスト・ソリューション Defensicsは、ソフトウェアのセキュリティ脆弱性を効果的かつ効率的に検出/修正する包括的かつ強力な自動ブラックボックス・ソリューションです。体系的かつインテリジェントなアプローチを取り入れたネガティブ・テストにより、市場投入スケジュールや運用コストに影響を与えることなく製品の革新性とソフトウェア・セキュリティを両立できます。

画像

シノプシスのファジング・テストは論理的なユーザー・インターフェイスを採用。画面の指示に従って手順を実行するだけで高度なファジング・テストを簡単に実行できます。

主な機能

インテリジェントなファジング・エンジン

Defensicsエンジンには、インターフェイス、プロトコル、ファイル・フォーマットなど入力タイプに関するナレッジが事前にプログラムされています。このため、入力タイプ内での通信を司る規則を深く理解し、その入力タイプに特有のセキュリティ脆弱性を突くような、ターゲットを絞り込んだテスト・ケースを送り込むことができます。このインテリジェントで体系的なアプローチによるファジング・テストにより、コストやセキュリティを犠牲にすることなくテスト時間を短縮できます。

画像

シノプシスのファジング・テスト・レポート。メッセージ・シーケンス・ログを利用して異常な応答の根本原因を突き止めることができます。

画像

シノプシスのファジング・テストには、Defensics Device Explorerなどテスト・プロセス全体を自動化する機能が用意されており、ユーザーによる面倒な設定は不要です。

シノプシスのファジング・テストがこれまでに検出した未知の脆弱性の一覧は、こちらをご覧ください。

包括的なファジング・ソリューション

250を超えるビルド済みのインテリジェントなテスト・スイートが用意されており、人手でテストを作成しなくてもすぐにファジング・テストを開始できます。テスト・スイートは、新しい入力タイプ、仕様、RFCを反映して常に更新されています。

  • 各テスト・スイートは、メッセージ・シーケンスを微調整してカスタマイズできます。データ・シーケンス・エディタを使用すると、デフォルトの定義済みテスト・スイートに含まれないコーナー・ケースも網羅できます。
  • 更に拡張性が必要な場合は、テンプレート・ファザーを使用します。Universal Data Fuzzer(ファイル・フォーマット・テンプレート・ファザー)とTraffic Capture Fuzzer(プロトコル・テンプレート・ファザー)は、ユーザーが用意したサンプル・ファイルをリバース・エンジニアリングしてテスト・ケースを生成します。
  • 独自/カスタム入力タイプを使用する場合はDefensics SDKで専用のテスト・スイートを作成できます。Defensics SDKはJava、Pythonおよび一部のトランスポート層をサポートしており、インストルメンテーションが付属します。

あらゆる開発ライフサイクルに適合

シノプシス・ファジング・テストには、ほとんどすべてのテクノロジやプロセス環境への適合を可能にするワークフローが含まれます。伝統的なSDLであれCI開発ライフサイクルであれ、シノプシス・ファジング・テストは早期段階で開発に組み込むことができるため、最小限のコストで脆弱性を捕捉して修正できます。独自の開発ライフサイクルを使用している場合は、シノプシスの経験豊富なプロフェッショナル・サービス・チームがファジング・テスト・チェックポイントの特定からファジング・テストのメトリクス定義、ファジング・テスト成熟度プログラムの確立までをお手伝いします。

シノプシス・ファジング・テストは開発プロセスに適合するだけでなく、周辺テクノロジとの連携も容易です。APIおよびデータ・エクスポート機能を利用してデータを共有することでレポート作成および解析の幅が広がるなど、シノプシス・ファジング・テストを完全なプラグ・アンド・プレイ方式で利用できます。

大量の詳細データを含むレポートにより効率的な修正をサポート

  • コンテキスト化されたログ:シノプシス・ファジング・テストとテスト対象システムの間のプロトコル・パスおよびメッセージ・シーケンスを詳細に記録した修正ログにより、各脆弱性のトリガと技術上の影響を容易に特定できます。
  • 脆弱性マッピング:シノプシス・ファジング・テストには各脆弱性をCWEなどの業界標準規格およびインジェクション・タイプにマッピングする機能があり、必要な情報をすぐに見つけて修正できます。
  • 問題の再現:シノプシス・ファジング・テストでは脆弱性トリガが1つのテスト・ケースにまで絞り込まれるため、問題を再現して正しく修正されているかどうかを検証できます。
  • 修正パッケージ:暗号化した修正パッケージを生成してソフトウェア・サプライヤに渡すことにより、サプライチェーン全体で安全かつ協調的な修正が可能です。

自動化によるスケーラブルなファジング・テスト

テスト・ターゲットのスキャンから接続先のレイヤ数の決定まで、シノプシス・ファジング・テストには豊富なAPIが用意されており、あらゆるニーズに応じた柔軟でスケーラブルな自動化が可能です。

  • 単一機器のテスト
  • 毎回同じテスト・プランを実行できるように、繰り返し可能なオートメーションをセットアップ可能
  • 最新のスケーラブルな仮想化技術によりテスト時間を短縮

ファジング・テスト(Defensics)
テスト・スイート・カタログ

Authentication(認証)、Authorization(許可)、Accounting(課金やユーザーのアクセス情報の収集)(AAA)・Diameterクライアント

  • Diameterサーバー
  • EAPOLサーバー
  • Kerberosサーバー
  • LDAPv3クライアント
  • LDAPv3サーバー
  • RADIUSクライアント
  • RADIUSサーバー
  • TACACS+クライアント
  • TACACS+サーバー

アプリケーション

  • FIX
  • JSONフォーマット
  • Webアプリケーション
  • WebSocketクライアント
  • WebSocketサーバー
  • XML SOAPサーバー
  • XML SOAPクライアント
  • XMLファイル
  • XMPPサーバー

バス・テクノロジ

  • CAN-BUS
  • CAN FD

カテゴリートップ