迅速・頻繁な機能の開発とリリースが求められる現在、脆弱なアプリケーションコードを作り込んでしまうリスクに効果的に対処していくためには、リリース直前のペネトレーションテストだけでなく、開発段階や結合テストの段階での自動検査ツールを活用して、継続的な脆弱性の発見と対応を行っていくことが不可欠です。
当社では、Webアプリケーションやサーバーレスアプリケーションのセキュリティテストの領域で革新的なソリューションを提供するContrast Security社とのパートナーシップのもと、お客様のアプリケーション開発環境における、効果的なアプリケーションセキュリティプログラムの実現をサポートします。
Contrast Assess によるWebアプリケーションのセキュリティ検査
Contrast Assessは、従来のWebアプリケーション脆弱性検査ツール(SASTおよびDAST)と異なる、IAST(Interactive Application Security Testing)と呼ばれる全く新しい検査手法を採用しています。
一般に、SAST(静的診断)ツールは誤検知が多く、脆弱性かどうかの確認や、対応の優先度付け(トリアージ作業)に膨大な手間を要します。また、DAST(動的診断)ツールも、脆弱性の見逃しが多く、また、検知した内容と修正すべきコードの対応付けが容易ではないという課題があります。
Contrast Assessでは、検査精度が非常に高く、修正すべきコードをピンポイントに特定できるため、開発上のオーバーヘッドを最小限に抑えつつ、アプリケーションセキュリティのリスクに対応することができます。
Contrast Serverless による、サーバーレスアプリケーションのセキュリティの可視化・検査
Function-as-a-Service (AWS Lambdaなど)によるサーバーレスコンピューティングは、展開と維持の容易さや、コスト面の合理性などのメリットを背景に急速に普及してきています。一方で、様々なアプリから再利用され、かつ他のファンクションやバックエンドサービスとの複雑な連携のために、リスクが把握できなくなりがちで、不適切な権限設定やインジェクション攻撃を通じた侵害のリスクが高くなりやすいとなりやすいといった、新たなセキュリティ上の課題が立ち上がってきています。
Contrast Serverlessは、サーバーレスアプリ向けに開発されたセキュリティ検査と可視化のソリューションで、セキュリティリスクを制御しながらサーバーレスコンピューティングのメリットを享受することを可能とします。
