日本アイ・ビー・エム ラショナル事業部は4月20日、Webアプリケーション向けセキュリティテストツール「IBM Rational AppScan」やWebサイトのリスク管理ツール「Rational Policy Tester」を活用したセキュリティ検査サービスのキャンペーンを実施すると発表した。
同社はRational製品をアプリケーションの開発からメンテナンスといったライフサイクルマネジメント全体をカバーする製品と位置づけているが、AppScanとPolicy Testerは同製品群においてコンプライアンス管理とセキュリティ管理を担う。
|
Rational製品のプロダクトマップ |
ソフトウェア事業 ラショナル事業部 品質検査担当マネージャーを務める細川宣啓氏は、「企業では現在、経営品質として、『コンプライアンス』と『アクセシビリテへの配慮』が求められているが、これらの実現に寄与するのがRationalのコンプライアンス管理/セキュリティ管理関連の製品だ。経営品質は経営層から現場まで一貫して浸透している必要があり、Rational製品では、品質という観点から経営層と現場の融合を目指している」と、企業における品質のあり方について説明した。
続けて、同氏は品質を確保するためのセキュリティ検査を開発段階の早期に行うことの意義について述べた。
「開発工程において、セキュリティテストは実機が出来上がらないと行えないと言われてきたが、あるラインを越えてしまうと、バグが見つかっても戻れない。また、バグが発見されるのが早ければ早いほど、修正にかかるコストも抑えることができる」
|
バグの発見は開発工程において早ければ早いほど修正にかかるコストを抑えられる |
また、アプリケーションの脆弱性を検査するツールは他社からも提供されているが、「見つかったバグをどこから修正するか?」、「どこでバグが見つかったのか?」といった分析はコンサルティングの領域であり、そうしたノウハウを持っているところは同社の強みだという。
今回同社がキャンペーンとして提供する「ワンタイム検査サービス」は、「Rational AppScan JavaScript & マルウェア・ワンタイム検査サービス」「Policy Tester Web アクセシビリティ・ワンタイム検査サービス」「Policy Tester Web 品質・プライバシー・ワンタイム検査サービス 」の3種類だ。キャンペーンということもあり、価格はJavaScript & マルウェア検査サービスが40万円から、アクセシビリティ検査サービスが50万円から、品質検査サービスが40万円からとなっている(キャンペーン期間は6月30日まで)。
ソフトウェア事業 ラショナル事業部 セキュリティー&コンプライアンス製品担当の雨宮吉秀氏は、「Ajaxの浸透などにより、クライアントサイドJavaScriptが多用されるケースが増えているが、そのセキュリティリスクは発見が困難なこともあり見過ごされてきた。例えば、クライアントサイドJavaScriptの脆弱性を突いたクロスサイトスクリプティングが行われると、サーバでの検証が回避されてしまうので、ユーザーのセッション情報が知らないうちに盗まれてしまうおそれがある」と、クライアントサイドJavaScriptにまつわるセキュリティリスクについて訴えた。
同社が開発したRational AppScanのJSA (JavaScript Security Analyzer)は、動的解析技術と静的解析技術を組み合わせることで、これまでは検出が難しかったクライアントサイドJavaScriptにまつわる脆弱性の検出を可能にしている。「これまで、JavaScriptのセキュリティ検査は動的検査、静的検査のどちらかが使われるのが一般的だった。JSAは両方を使うところがポイント」と細川氏はアピールした。
