NRIセキュア、IAST、RASPに対応した脆弱性検査製品を販売開始
- 2018/08/09 10:00
- SecurityInsight
NRIセキュアテクノロジーズ(以下、NRIセキュア)とユービーセキュア(以下、UBSecure)は8月7日、米Contrast Security社のセキュリティ脆弱性検査製品「Contrast Assess」(IAST対応)と「Contrast Protect」(RASP対応)を販売開始することを発表した。
DevSecOpsを効果的に実現することができるソリューションとして、NRIセキュアとUBSecureが提供してきたウェブアプリケーションの脆弱性診断を行なう検査ツール「Vulnerability EXplorer」(DAST対応)と組み合わせることで、アジャイル開発やアプリケーションの高速開発における脆弱性チェックの効率性を飛躍的に向上させることができるとしている。
2つのContrast社製品の特徴は以下のとおり。
「Contrast Assess」
ソフトウェアの脆弱性検査を行なうセキュリティ・テスト・ソリューションで、IASTと呼ばれる脆弱性検査機能を提供。アプリケーションサーバーに検査用のエージェントを組み込み、アプリケーションの挙動を監視しながら脆弱性の検出を行なう。
スキャンという概念がなく、アプリケーションを操作していく中で検出が始まるため、自動化されたその他のテストと組み合わせることで、継続的な脆弱性検査が可能となる。また、アプリケーションで利用しているOSSなど、サードパーティーコンポーネントの種類やバージョンを識別でき、脆弱性情報データベースと組み合わせることで、利用中のコンポーネントの既知の脆弱性を自動的に検出することが可能。
APIが提供されているため、検出した脆弱性をSlack、JIRA等の開発ツールを利用して、通知することができる。
「Contrast Protect」
稼働中のウェブアプリケーションへの攻撃をリアルタイムに検知し、自己防御を行なうランタイム・ソリューション。アプリケーションサーバーにて監視用エージェントを稼働させ、アプリケーションレベルで不正アクセスをブロックする。ライブラリやサーバーソフトウェアの脆弱性に対して、パッチを当てる前に自動的にアプリケーションの保護を行なうことができる。