日本ヒューレット・パッカードは2011年6月14日、Webアプリケーションの脆弱性を効率的に減らすことを目的に、互いに連携動作するように改善した2つのテスト・ツールを発表した。ソース・コードの脆弱性を静的に解析するソフト「HP Fortify 360 V3.0」と、Webアプリケーションの脆弱性を動的に診断するソフト「HP WebInspect 9.0」である。
価格(税込み)は、静的解析のFortify 360が、336万円から。Webアプリ診断のWebInspectが、252万円から。この2製品を連携させるために必要となるオプション・ソフトで、2製品の新版に合わせて新たに登場した「HP Fortify 360 SecurityScope」の価格は、168万円から。いずれも、2011年7月1日に販売開始する。
新版では、新たに登場した連携ソフトを用いて、Fortify 360とWebInspectを連携させられるようにした。これにより、Webアプリケーションの脆弱性を突くWebアクセス(URL単位)と、このWebリクエストを受けて実際に動作するWebアプリケーションのソース・コード(コード内のロジック単位)を関連付けたうえで、脆弱性をより的確に診断できるようにした。
Webリクエストとソース・コードを連携
新たに用意した連携ソフトのFortify 360 SecurityScopeは、Webアプリケーション・サーバー(Javaまたは.NET)に組み込んで利用する。JavaVM(Java仮想マシン)またはCLR(.NET Frameworkの仮想マシン)が標準で備えるデバッグ用APIを使って、実行中のアプリケーションを監視し、状態の情報を取得する。
WebInspectとFortify 360 SecurityScopeの連携方法は、解析対象となるWebリクエストごとに、共通のIDを共有するというもの。一方、Fortify 360 SecurityScopeは、解析の時点で実際に仮想マシンが実行しているクラスなどの情報を知っているので、これをFortify 360に伝える。この一連の動作により、URL(WebInspect)とソース・コード(Fortify 360)が連携する仕組み。
相互連携のほかの機能強化点は、以下の通り。
静的解析のFortify 360では、これまで解析できていた主要な言語(JavaやC#、PHPなどの汎用言語から、JSPなどのWeb開発向け上位言語、DBMS組み込み用のPL/SQLなど多数)に加え、新たに独SAP ERPの開発環境であるABAPの開発言語を解析できるようにした。
一方、動的診断のWebInspectでは、数多くのWebリクエストを駆使して情報を収集するブラインドSQLインジェクションや、主にAjaxの登場によって拡大した脆弱性(DOMベースXSSやCSRFなど)を検知するための、新エンジンを搭載した。
なお、Fortify 360は、米Hewlett-Packardが2010年に買収した米Fortify Softwareの製品ラインである。日本HPでは、Fortify 360の旧版を2011年2月1日に提供開始し、今回、新版へとバージョンアップした。一方、WebInspectは、2007年に買収した米SPI Dynamicsの製品ラインである。
