バックナンバーはこちら

today&tomorrow

Technology Update

  • T&T HOME
  • Technology Update
  • アプリケーション・セキュリティ・テストのためのマネージド・サービス

2018 vol.110

アプリケーション・セキュリティ・テストのためのマネージド・サービス お客様はビジネスにフォーカスしてください。シノプシスが安全を守ります

シノプシスの「サービスとしてのセキュリティ」モデルは、あらゆる規模の企業や市場に柔軟性と拡張性、費用対効果をもたらし、事業拡大のもととなるアプリケーションを保護すると確信しています。

オンデマンドテスト用ポータル

シノプシスのオンデマンド・ポータルを利用することで、評価要件の変更にも素早く対処でき、アジャイル開発サイクルに適応でき、深刻化する脅威に対応できるようになります。操作が簡単なポータルを利用すれば以下の作業が簡単にできます。

  • テストのスケジュール作成と必要に応じた再作成
  • テストの詳細レベルの管理
  • テスト結果の表示およびダウンロードとチームメンバー間および部門間でのテスト結果の共有
  • テスト履歴へのアクセスとより広範なテスト作業に関するデータ収集
  • 要求済みの作業と完了した作業の管理
  • 状況に応じた修正手引きの入手

常に最適なテストを選択できる柔軟性

提供可能なテストは多岐にわたり、マネージド・サービスをモバイルテストやネットワーク・ペネトレーション・テスト、静的および動的アプリケーション・セキュリティ・テスト(SAST/DAST)のような一般的なテスト要件にまで広げています。テストは、さらにテストのレベルごとに視覚的に示されるので、テストの詳細レベルをアプリケーションごとのリスク特性に合わせることができます。

必要なリソースを必要な時にだけ

企業が社内でテストを実施すると、たちまち人員制約を受けます。アジャイル開発サイクルの中にセキュリティ・テストを組み込むことにより、開発リソースの配分に偏りが生じます。暇な人に給料を支払うはめにならないようにしないと、必要なリソースがない隙を突かれます。シノプシスのマネージド・サービスによる手法では、企業は必要とするテスト能力を必要な時に(必要な時だけ)利用できます。

使用するツールに最適化された手法

習うより慣れよ。シノプシスは年間何千件ものテストを実施しており、そうしたテストから得た経験と知識をマネージド・サービスに取り入れています。お客様は、シノプシスが採用しているのと同じテストツール・セットを使用したとしてもマネージド・サービスほどの正確性の高いテストは実行できないと仰っています。

定評のあるセキュリティエキスパートを利用する

マネージド・サービスによって何百名ものエキスパートを利用できることは非常に貴重です。エキスパートによってお客様のチームに重要な修正の手引きが提示され、テストプロセスで発見された問題を修正できるようになります。

複数のテスト手法

シノプシスでは、以下のような複数の評価タイプを用意し、お客様の製品ラインナップの各アプリケーションのリスク特性にテストの詳細レベルを合わせられるようにしています。

  • 1.動的アプリケーション・
    セキュリティ・テスト(DAST)

    DASTは、Webアプリケーションを動作させながら、ペネトレーション・テストを使用し、スキルと動機を合わせ持つ攻撃者による攻撃をシミュレーションすることで、セキュリティ上の脆弱性を特定し、組織に対する現実世界のリスクを見極めることができます。

  • 2.静的アプリケーション・
    セキュリティ・テスト(SAST)

    ソースコードをスキャンして、ソフトウェアセキュリティの脆弱性を体系的に発見して排除します。

  • 3.ペネトレーション・テスト

    自動スキャンと手動テストを組み合わせて脆弱性を発見します。脆弱性の存在する場所は、クライアントサイドコード、サーバーサイドコード、サードパーティー製ライブラリ、基盤モバイルプラットフォームのいずれであろうと構いません。

  • 4.モバイル・アプリケーション・セキュリティ・テスト

    iOSとAndroidのアプリケーションおよびそのバックエンドコンポーネントのセキュリティを評価するためにサービスとして提供されます。

  • 5.ネットワーク・セキュリティ・テスト

    外部ネットワークのセキュリティ上の脆弱性を特定して排除する体系的なテスト方法です。

カテゴリートップ