バックナンバーはこちら

today&tomorrow

Technology Update

  • T&T HOME
  • Technology Update
  • シノプシス・インタラクティブ・アプリケーション・セキュリティ・テスト IAST/Seeker

2018 vol.110

シノプシス・インタラクティブ・アプリケーション・セキュリティ・テスト IAST/Seeker 本当の脅威だけを自動で正確に検出。ソフトウェア開発ライフサイクルにシームレスに統合

シノプシスのインタラクティブ・アプリケーション・セキュリティ・テスト・ソリューション IAST/Seekerは業界をリードする次世代アプリケーション・セキュリティ・テスト・ソフトウェアです。既存のソフトウェア・テスト・プロセスへの統合が容易で、セキュアなアプリケーションを効率よく開発できます。

製品概要

IAST(Seeker)はマルチティアWebアプリケーション全体でセキュリティ脆弱性を検出、検証して開発チームに提示するツールで、ランタイム・コード解析を既存のソフトウェア開発ライフサイクル(SDLC)に容易に統合できます。IAST(Seeker)はクリティカルなデータに対して本当に脅威となる脆弱性だけを正確に特定します。また、詳細な修正ガイダンスが提示されるため、セキュリティの専門知識がなくても問題を容易に修正できます。

主な機能

本当の脅威だけを正確に特定

IAST(Seeker)は、独自の技術によりデータフローとランタイム・コード実行を解析して相関をとります。IAST(Seeker)はコードを1行ずつ実行して解析するだけでなく、すべてのアプリケーション層およびコンポーネントの間での、コードと重要なユーザー・データの相互作用も確認します。このテクノロジは、他のテクノロジでは検出できない複雑な脆弱性やロジックの欠陥を含め、クリティカルなデータに対して本当に脅威となる脆弱性を特定できます。

更に精度を高めるため、IAST(Seeker)はアプリケーションへの進入(攻撃)可能経路をシミュレーションします。これにより検出結果を検証し、誤検出を最小限に抑えると同時に、各脆弱性のインパクトとビジネスリスクを判定します。

必要な結果のみを明確に提示

IAST(Seeker)は「修正が必要なもののみを表示する」というアプローチで誤検出を最小限に抑えています。脆弱性はそのインパクトに応じて格付けされ、開発者に必要な結果のみが提示されます。この中には、リスクに関する明確な解説、技術的な説明、脆弱性が見つかったコード行、コンテキストを考慮した具体的な修正ガイダンスなど、問題の修正に必要なすべての情報が含まれます。また、問題とリスクがグラフィカルに表示されるため、直感的な理解が可能です。

セキュアなソフトウェアの開発効率が向上

  • ビジネスへのインパクトおよび攻撃の容易性を考慮して脆弱性を理解できるため、リスクの可視性が向上します。
  • 脆弱性の検出結果を検証し、本当に脅威になるものや攻撃の容易なもののみを報告するため、脅威とならない問題に無駄な時間を費やすことがありません。
  • ユーザーが設定したコンプライアンス基準に従ってユーザー・アプリケーションのセキュリティ・ステイタスを明確に表示します。
  • 検出された脆弱性のレポートには関連情報一式が含まれるため、問題を短時間で簡単かつ適切に修正できます。
  • セキュアなコードの開発手法が提示されるため、チームの開発とテスト・スキルが向上します。

使いやすく、理解しやすい

IAST(Seeker)はSDLCへの統合が容易で、最小の努力ですぐに成果を上げることができます。シンプルかつ直感的なユーザー・インターフェイスからこの革新的なテクノロジにアクセスできるため、セキュリティの専門知識がなくても簡単にテストを実行でき、理解しやすい具体的な結果が得られます。

SCAとの連携をサポート

シノプシス・ソフトウェア・コンポジション解析(SCA/Protecode SC)とIAST(Seeker)を連携させることで、サードパーティおよびオープンソース・コンポーネントに含まれる未更新のライブラリやセキュリティ脆弱性を検出できます。レポートでは、パブリック(GPL)かプロプライエタリかといったライセンス・タイプ、および脆弱なコンポーネントの数、タイプ、リスクレベル(深刻、重大、軽微)を確認できます。

画像

動作のしくみ

ビジネスに脅威となる問題のみを特定

  • シミュレーションした攻撃手法との相関を見ながらランタイム・コードとデータフローを正確に解析します。
  • 誤検出を大幅に削減します。
  • あらゆるタイプの脆弱性を高精度で特定します。
  • ランタイム・コードとデータフローの相関を利用した独自のアプローチにより、他のテクノロジやアプローチでは検出できないロジック系の脆弱性なども特定します。

リスクを分類して解決策を提示

  • 攻撃経路のシミュレーションとデータ解析により各脆弱性の影響を正確に評価し、脆弱性リスクを分類します。
  • 各脆弱性について、該当するソースコード行などの詳細な結果を表示します。
  • コンテキストを考慮した具体的な修正情報により、セキュリティの知識がなくてもすべての脆弱性を即座に修正できます。
  • 修正方法に関する分かりやすい解説や、該当するプログラミング言語でのセキュアなコード例を含む修正ガイダンスが提示されます。

セキュリティを開発プロセスに統合

  • セキュリティの知識や高度な技術スキルがなくても操作でき、新たな人件費が発生しません。
  • SDLCへの統合が容易で、すぐに結果が得られます。あらゆる開発メソドロジへの統合が可能です。
  • 簡単な操作で正確かつ明確な結果が得られる最高品質のアプリケーション・セキュリティ・テスト・ソリューションとして、アプリケーション・セキュリティへの投資対効果を最大化します。

カテゴリートップ