株式会社イーエルティ

アプリケーションセキュリティ製品

テスト時間を劇的に短縮

アプリケーションセキュリティの真実は、1つのツールですべてをカバーする事は出来ないということです。例えば、静的アプリケーションセキュリティテスト(SAST)ツールは、既知の脆弱性についてアプリのソースコードをスキャンしますが、それぞれが特定の種類の脆弱性を見つけるのに優れています(または悪化)。その為、何かを見逃さないようにするには、複数のツールを使用する必要がありますが、これによりまったく新しい問題が発生します。数千の脆弱性を表す様々なツールからのスキャン結果が集まることになります。これにより、テストに非常に時間がかかるようになります。どのフラグが本物かを判断し、重複する結果を排除しなければなりません。これにより、通常多くの場合、複数のセキュリティスペシャリストが各問題を手動でレビューし、それらを独自に関連付けます。

Code Dx Enterpriseは、すべてのツールのスキャンの結果を取得して自動相関処理し、重複のない短いリストを提供します。さらに、複数のツールで発見された脆弱性を指摘し、重大度に基づいて各脆弱性に優先順位を付ける簡単なインターフェースを提供します。これにより、テスト時間が劇的に短縮され、スケジュールに遅れることなくアプリケーションを保護することができます。

コンプライアンスを維持

ソフトウェアを作成している間は、ソフトウェアがコンプライアンス準拠していることを確認することをお勧めします。Code Dx Enterpriseがそれを処理します。

Code Dx Enterpriseは、HIPAA、DISA-STIG、PCI DSSなどの様々な規制に対してコードベースを自動でチェックします。そして、これらの規制に違反するコードの行には全てにフラグが付けられ、違反の正確な性質と、準拠させる方法を表示します。数百ページに及ぶ規制を読むのではなく、開発者はアプリケーションをできる限り品質良く、そして安全なものにする事に集中できます。

開発者をセキュリティチームの一員にする

開発者は、どうしても必要な場合を除き、コードを「修正」することを嫌がります。何千もの潜在的な脆弱性のリストを渡されるような開発チームを疎外することはできませんが、その大部分は現実的でさえないかもしれません。その為、セキュリティチームの仕事の大部分は、調査結果を確認してから修正するために開発チームに引き渡すことです。

Code Dx Enterpriseはそのセキュリティチームの負担の多くを担います。 SASTツールはソースコード(常にその長いエラーリストを返すプロセス)をスキャンしますが、動的アプリケーションセキュリティテスト(DAST)ツールは外部から実行されます。これらのツールは、侵入テストに対して同様のアプローチを使用します。実際、多くのツールはプロセスの一部としてペンテストを使用して、エクスプロイトを見つけます。言い換えれば、SASTツールは家に15個のドアがあることを通知しますが、DASTツールはロック解除されているドアを通知します。

Code Dx Enterpriseが行うことは、SASTおよびDASTツールの結果を取得し、それらを組み合わせて相関させることです。 これにより、潜在的な問題の長いリストではなく、検証され、すぐに実行可能な脆弱性を含む、はるかに短いリストを開発者に提供します

サイバーセキュリティの専門家が設計したダッシュボード

Code Dx Enterprise のダッシュボードは、サイバーセキュリティの専門家が、セキュリティリスクの検討方法を分析し、最も見る必要がある測定結果から、視覚的に見ることができる設計にしています。そのため、非常に効率よくレビューすることができます。

​Code Dx Enterpriseの主な機能

  • 複数ツールの出力と手動の検出結果を単一の結果セットに自動的に結合および相関させる
  • 商用SAST、DAST、およびIASTツールをサポート
  • いくつかのSASTツールがバンドルされており、すぐに始められま
  • HIPAAなどの規制に対してコードベースでチェックします
  • 脆弱性の修正を割り当てて追跡するツールで修復を管理します
  • JIRA課題追跡ツールと統合できます
  • 開発者がより簡単に修正できるように、一般的な開発環境(Eclipseなど)と統合できます
  • CI/CD環境に組み込み、プロセスを合理できます
  • REST APIを使用して他のビルドサーバーと統合できます
  • カスタムまたは独自の分析ツールと統合するためのXML入力をサポート
  • ネットワークセキュリティチームによる分析のために、結果をSIEM形式で提供できます
  • さまざまな形式のレポートを生成します
  • Software Composition Analysisツールのサポートにより、サードパーティのコンポーネントの脆弱性をチェック出来ます
  • 脆弱性をCWEにマップします

Code Dx Enterpriseの主な利点

複数のツールとCode Dx Enterpriseとを上手く組み合わせると、より効果的なソフトウェアテストが可能になります

  • より良い脆弱性のカバー
  • 誤検知の減少
  • 重複する結果をなくす

Code Dx Enterpriseは時間とリソースを節約します

  • 複数ツールの出力結果を組み合わせるという、退屈で時間のかかるプロセスを自動化出来る
  • 実用的なデータが残るまで結果を相関させるという、労働集約的な高コストのタスクを自動化出来る
  • コードに対してオープンソースのSASTツールと3rdパーティのライブラリアナライザーのコレクションを自動的に選択して実行します