ソースコード解析とペネトレーションテストを有機的に統合
日本HPが脆弱性解析ソフトの新版、ハイブリッド解析を可能に
2011/06/14
日本ヒューレット・パッカード(日本HP)は6月14日、アプリケーション脆弱性の解析ソフトウェアの新バージョンを発表した。ソースコードを解析してアプリケーションの脆弱性を静的に解析する「HP Fortify 360 V3.0」と、ペネトレーションテストによって脆弱性を検出する動的解析ソフトウェア「HP Web Inspect 9.0」だ。
HPでは、「アプリケーションライフサイクルの中で、セキュリティは重要な位置付けにある」(日本HP HPソフトウェア事業統括 ビジネス・テクノロジー・ソリューションズ統括本部 Fortify事業部 事業部長 新造宗三郎氏)という観点から、買収した米フォーティファイの技術をベースに、脆弱性解析ソフトウェアのラインアップを強化してきた。
その両輪を構成するのが、HP Fortify 360とHP Web Inspectだ。前者はアプリケーションのソースコードを基に内部構造などを分析し、脆弱性を発見する。ロジックを網羅的にチェックできること、ピンポイントで原因を特定できることなどが特徴だ。一方後者のHP Web Inspectは、Webアプリケーションサーバに対して擬似的に攻撃を実行し、脆弱性を発見する。実行環境も含めてテストを行い、リスクに応じて問題の優先順位付けを行えるというメリットがある。
新バージョンではHP Fortify 360 V3.0のオプションとして、両製品を連携させるコンポーネント「HP Fortify 360 Security Scope」を追加した。「動的解析と静的解析の結果を有機的に統合するためのコンポーネント。両方の解析結果を結び付けて、よりピンポイントに問題を特定できる」(新造氏)という。
HP Fortify 360 Security Scopeは、静的セキュリティテスト(SAST)と動的セキュリティテスト(DAST)の仲介役として動作して、ハイブリッドアナリシスを実現する。具体的には、デバッグ用APIを利用してアプリケーションを動作させながら監視し、問題をトレース。ソースコードのファイル名/行番号とURLを結び付け、解析することが可能だ。これにより、SQLインジェクションやクロスサイトスクリプティングといった脆弱性の在りかを正確に把握し、より迅速に修正できるよう支援するという。
HP Fortify 360 Security Scopeで解析可能なのは、.NETおよびJavaアプリケーション。つまり、基幹に近いアプリケーションが対象だ。
ほかに、HP Fortify 360 V3.0単体では、SAPの開発言語である「ABAP」や.NET 4.0、Webshpere 6.0といったプラットフォームをサポート。またHP Web Inspect 9.0では、Webブラウザの操作内容を記録できるログインマクロ機能を追加し、より複雑なアプリケーションテストを行えるようにしている。
価格は、HP Fortify 360 V3.0が336万円から、HP Web Inspect 9.0は252万円から、HP Fortify 360 Security Scopeは168万円から。いずれも7月1日から販売を開始する。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。