オージス総研、アプリに脆弱性を作りこまないためのセキュリティ対策

オージス総研は9月6日、アプリケーションに脆弱性を作りこまないためのセキュリティ対策として「アプリケーションセキュリティソリューション」の提供を開始したと発表した。

近年、急増しているサイバー攻撃によるデータ侵害の原因の多くは、アプリケーションの脆弱性を攻撃されることで発生しているが、セキュリティ対策に関する支出の多くはエンドポイントやインフラへ向けられており、企業におけるアプリケーションのセキュリティ対策は進んでいないのが現状だという。

同社は、アプリケーションに脆弱性を作りこまないことが重要と考えており、開発初期からセキュア要件定義やセキュア設計レビューなどのセキュリティ対策を実施するセキュリティ開発ライフサイクルが必要だと指摘している。

新ソリューションは、アプリケーション構築に関わるセキュリティ開発ライフサイクルを実践するためのコンサルティングサービスとツールを提供するものとなり、企業の状況に合わせたセキュリティ対策の実践を支援していく。

コンサルティングサービスは「セキュリティ開発ライフサイクル実践支援」「ソフトウェアセキュリティ保証成熟度モデル適用支援」で構成。

セキュリティ開発ライフサイクル実践支援では、セキュリティ対策に関する現状分析を行い、開発ライフサイクルに合わせたセキュリティ対策の実践を支援(セキュリティ開発ガイドライン策定支援、セキュア要件定義、脅威分析、セキュア設計レビュー、リスクベースドテスト計画など)。ソフトウェアセキュリティ保証成熟度モデル適用支援は、OWASP OpenSAMMに基づいた組織の現状アセスメントと改善ロードマップの策定を支援する。

ツールは2種類提供する。ソースコード静的解析ツール「Coverity」は開発時にバグだけでなく、OWASP Top10をはじめとする脆弱性を検知できるツールを提供。OSSライセンス・脆弱性管理ツール「Palamida」は、企業のソフトウェアに含まれるOSSとそのライセンスおよび脆弱性を自動検出するツールを提供するという。