あまりの導入効果の高さに、ユーザーであった米Salesforce.comが出資にまで踏み切った製品。それが、イスラエルCHECKMARXが提供するソースコード静的解析ツール「CxSuite」である。
CxSuiteのどういった点が、それほどまでの高い評価を受けたのか。以下、国内販売代理店を担うインテリジェント ウェイブにおいて技術サポート課長を務めるアグナニ・サンジェ氏の話を基に簡単にご紹介しよう。
プロフィール
アグナニ サンジェ(Sanjay Agnani)
インテリジェント ウェイブ プロダクト営業部 技術サポート課長。CISA(Certified Information Systems Auditor : 公認情報システム監査人)、CISM(Certified Information Security Manager : 公認情報セキュリティマネージャー)、といった国際資格を持ち、国内外で展開をしているインテリジェント ウェイブのセキュリティビジネス推進において、同社の中心人物として活躍をしている情報セキュリティの専門家。CxSuiteにおいては、技術面から契約面までCHECKMARXとの渉外の一切を担当している。
11月21日(水)に開催される『脆弱性を"根"から絶て! プロジェクト管理者のためのセキュリティセミナー』にて講演予定。
イスラエル国防軍ITセキュリティ R&Dオフィサーの知見を結集
「CxSuiteの開発者はイスラエル国防軍 ITセキュリティ R&Dオフィサーを務めたMaty Siman氏です。同氏はそのキャリアから、サイバー・セキュリティの脅威について高度な知識を持っており、イスラエル国防軍のアプリケーションを守るという、エンドユーザーの立場から生まれたツールがCxSuiteなのです」
アグナニ氏は、CxSuiteの生い立ちについてこのように説明する。
CxSuiteの大きな特徴として挙げられるのは、脆弱性解析ルールのプログラムがすべてオープンになっている点だ。ルールは、ユーザーが改変/追加することも可能である。
通常、静的解析ツールにおける脆弱性解析ルールのプログラムは、企業秘密としてブラックボックス化されていることが多い。
対して、解析ルールのプログラムがオープンになっていれば、「似たような脆弱性解析ルールに変更を加えるなどして、ユーザーは独自のニーズに合わせた解析を行う事ができる」(アグナニ氏)。
既存製品の多くは準備や後作業に膨大な手間がかかるため、なかなか活用しようという気持ちにならないのが開発者の本音ではあるが、このようなわかり易さこそが、至極重要な機能と言える。
Salesforce.comの評価ポイントは生産性の劇的向上
さて、上記のとおり、ユーザー独自のニーズにも対応できる能力を備えたCxSuiteだが、冒頭で紹介した米Salesforce.comによる評価の中心は実はそこではない。彼らが最も評価したのは「開発生産性の向上」(アグナニ氏)である。
Salesforce.comは当初、CxSuiteを期間限定ライセンスで試験導入した。導入の際にはKPI(Key Performance Indicators)を定めて投資対効果を測定。それを経営陣に報告し、本格導入を検討するフローになっていた。
この測定の中で予想外のことが起きる。測定の結果として表れた数値が、従来製品を何倍も上回るものだったのだ。それを見た経営陣が、全面導入を即決。さらには、出資という判断を下すまでに至ったという。
改善が見られたポイントはいくつもあったようだ。
例えば、解析ルールがオープンになっているおかげで、プロジェクトのセキュリティチェックポリシーにそぐわないものを排除できたことが挙げられる。
一般的な静的解析ツールでは、セキュリティレベルを落とさないよう"疑わしい"レベルの脆弱性もあまねく検出する設定になっていることが多い。そのため誤検知も少なからず発生することになり、修正作業は検出結果の"選り分け"からスタートするという事態に陥ってしまう。一方、CxSuiteでは、ユーザーがルールの中身を確認して、不要なものはチェック対象から外すことが可能だ。開発者は煩雑な作業をスキップすることができるわけだ。
また、CxSuiteには、「データマイニング的にソースコードを解析できる」(アグナニ氏) ため、実行環境や必要コンポーネントを揃えなくても解析処理を実行可能という特徴がある。この点も生産性向上に大きく貢献したようだ。
一般的な静的解析ツールでは、本番同様の環境が求められることがほとんどで、セキュリティテストは開発の最終フェーズにならなければ実行できないケースが多い。残された期間は短いため、そこで出た結果によっては、リリース延期という決断を迫られることもしばしばだ。
それに対して、CxSuiteでは部分的なソースコードに対しても解析がかけられる。「開発者が個別に作成したUIなどの断片的なソースでも、その場で脆弱性の有無を検証可能」(アグナニ氏)だ。影響範囲が小さいうちに問題を修正できるため、開発を効率的に進められる。
* * *
CxSuiteのユーザー企業には、米News Corp、米Dow Jones、米U.S. Bank、米国陸軍、豪Attlasianなど、そうそうたる顔ぶれが並ぶ。「企業によっては、作業量が約1/10にまで減ったケースもある」(アグナニ氏)という。
スペースの都合上、ここではほんの一部の機能しか紹介できなかったが、同製品はそのほかにもさまざまな特徴を備えている。それらが総合的に寄与して大幅な業務効率改善、セキュリティ品質向上を実現しているようだ。
では、その特徴とは具体的にどういったものなのか。詳細は、11月21日(水)の『脆弱性を"根"から絶て! プロジェクト管理者のためのセキュリティセミナー』のアグナニ氏のセッションにおいて、デモンストレーション付きで解説される予定である。
また、当日は、CxSuite開発者のSiman氏もイスラエルから来日し登壇する。元イスラエル国防軍ITセキュリティ R&Dオフィサーの講演を聞けるまたとないチャンス。お時間のある方は、ぜひとも足を運んでほしい。