DevOps開発スピードでWebアプリケーションに潜む脆弱性を継続的に検出/検証、コンプライアンス遵守のために機密性の高いデータを割り出し監視
2018年8月1日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)ソリューション Seeker®の最新バージョンを発表した。本バージョンには、DevSecOps手法(開発担当者、セキュリティ担当者、運用担当者が連携して協力する開発手法)を実現し、Webアプリケーションのセキュリティを継続的に確保できるよう再開発が施されている。Seekerは、CI/CD開発(継続的インテグレーション/継続的デプロイ)のワークフローにシームレスに組み込むことができ、リリース前のテストプロセスでWebアプリケーションの挙動をモニタリングすることができる。特許技術により、悪用されかねない脆弱性が無いかどうかを検出し自動検証することができる唯一のアプリケーション・セキュリティ・ソリューションであり、開発者に的確ですぐに実行可能な対策をリアルタイムで提示する。
Seeker についての詳細な情報は、下記より入手可能。
2018年8月28日開催のWebセミナー(60分)へは下記より参加登録できる。
https://www.brighttalk.com/webcast/11447/331260?utm_source=pressrelease
Forrester Research社 主席アナリスト Amy DeMartine氏は、著書で次のように語っている。「開発者の34%が言っているように、彼らは一日のうちに何度もアプリケーション・セキュリティ・テストを走らせる必要があり、開発に使用するマシンがフリーズすることすらあります。ダイナミック・アプリケーション・セキュリティ・テスト(DAST)の手法は、開発スピードを犠牲にすることなくセキュリティ・テストを実施しなければならない企業/団体にとって、長い間重荷となっていました*」
* Forrester Research, Inc.,2017年11月3日刊 Amy DeMartine, Construct a Business Case for Interactive Application Security Testingより抜粋。
Seekerは独自の手法により、タイトなフィードバック・ループの中でアプリケーション・セキュリティ・リスクを絶えず最小化させることを可能にしている。これにより、開発サイクルの後期段階になって行うことになる、またそのために所定のテスト・サイクルの超過や手作業による検証結果の分析、優先順位の高いものへの対処といった現実を引き起こすDASTスキャンや侵入テストのみに頼らなくて済む。また、外部調達するソフトウェア・コンポーネントへの依存がもたらすリスクに対処するため、SeekerにはBlack Duck Binary Analysis(旧Protecode SC)が統合されており、これによりオープンソース・ソフトウェア・コンポーネントに潜む既知の脆弱性やライセンス上の問題をも自動検知することができる。Seekerは、PCI DSSやGDPRといった標準規格やルールへのコンプライアンス遵守のために機密性の高いデータの状況を監視することができる唯一のIASTソリューションである。開発フローにすぐに組み込めるだけでなく、大規模/クラウドベース/マイクロサービスベースのアプリケーション・アーキテクチャにも適用できる。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Andreas Kuehlmannは、次のように述べている。「Seekerは、開発企業/団体がDevOps手法を実践し、顧客に提供するソフトウェアを絶え間なく改善していけるよう開発されています。Seekerが提供する継続的なモニタリング機能、比類なき解析精度、コンテキストを考慮した修正ガイダンスにより、手作業によるセキュリティ・テスト作業を排除できるため、開発者は責任者意識を持ってアプリケーション・ソフトウェアのリスクの問題に取り組めるようになります」
Seeker 2018.07の主要機能は以下の通り。
Seekerは、検出した脆弱性が悪用されかねないものであるかどうかを能動的かつ自動的に検証できる唯一のIASTソリューションである。この検証機能は、悪意のある第三者が挿入したパラメータに汚染されたHTTPリクエストを再現し、その結果発生するデータの流れをモニタリングする特許技術によって実現されている。誤検出率は限りなくゼロに近く、他のIASTやDASTソリューションと比較して大幅に低い。これにより、手作業検証で費やされる開発コストを削減することが可能となる。
Seekerは、クレジットカード番号、ユーザーネーム、パスワードといった機密性の高いデータを特定し監視することができる唯一のIASTソリューションである。これによりセキュリティ担当チームは、こういった重要データが安全に運用されているか、外部攻撃に対して脆弱な状態あるいは暗号化されていない状態で格納されていないか、といったことを確認することが可能になる。この監視機能により、開発企業/団体は、PCI DSSやHIPAA、GDPRといったデータ・セキュリティ上の標準規格やルールへのコンプライアンス遵守を達成できるようになる。
Seekerは、最小限のコンフィギュレーション設定をするだけで、事実上ほとんど全ての自動化/手作業ベースのテスト環境で運用することができる。またネイティブ・プラグイン機能と、バグ・トラッキング/ビルド/テスト自動化ツールに対する使い易いWebアプリケーション・プログラム・インターフェイスにより、CI/CD開発フローにシームレスに組み込むことができる。標準ベース/マイクロサービスベース/クラウドベースのアプリケーション・アーキテクチャにも適用できるだけでなく、大規模エンタープライズ・システムにも対応できる。
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、スタティック解析、ソフトウェア・コンポジション解析、ダイナミック解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOpsプロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jp より入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941
NEW 2024/7/3 - 日本の企業/団体の57%は過去1年間にソフトウェア・サプライチェーン攻撃を受け、 23%が攻撃の検知と対処に苦慮
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始