[新製品・サービス]

東陽テクニカ、機能テストの裏でWebの脆弱性を動的に検出するソフト「Checkmarx CxIAST」

2019年7月29日(月)日川 佳三(IT Leaders編集部)

東陽テクニカは2019年7月26日、Webアプリケーションの脆弱性検査ソフト「Checkmarx CxIAST」を発表した。Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出する。工数をかけずに「DevSecOps」(Webアプリケーションの脆弱性を検知してすぐに修正すること)を実現できる。2019年7月31日から販売する。開発会社は、イスラエルのCheckmarx。

 Checkmarx CxIASTは、Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出するソフトウェアである(図1)。Webアプリケーションサーバーに検査エージェントを組み込んで運用する。ソフトウェア開発工程で実施する機能テストの裏で、脆弱性診断テストを自動で実施する仕組み。エージェントがWebアプリケーションの挙動を監視し、脆弱性をリアルタイムに検出する。

図1:Checkmarx CxIASTの概要。既存の機能テストや実際のWebアクセスの裏で、動的にWebアプリケーションの脆弱性を検出してソースコードとともに提示する(出典:東陽テクニカ)図1:Checkmarx CxIASTの概要。既存の機能テストや実際のWebアクセスの裏で、動的にWebアプリケーションの脆弱性を検出してソースコードとともに提示する(出典:東陽テクニカ)
拡大画像表示

 Webアプリケーション全体のデータフローを可視化できるので、自社製コードの脆弱性だけでなく、ソースコードがないサードパーティ製のライブラリについても脆弱性を検出できる。データフロー中に検出した脆弱性を、Checkmarx CxIASTが逆コンパイルしたソースコードとともに提示する。開発者は、修正すべき脆弱性がコード内のどこに存在するかを特定できる。

 脆弱性を検出できる対象言語は、Java、Node.js、C#。検出可能な脆弱性は、デフォルトで、SQLインジェクション、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエストフォージェリ)、XXE(XML外部実体攻撃)、パラメータ改ざんなど約40種類。脆弱性の検出アルゴリズムのカスタマイズも可能で、検出対象の脆弱性を増やしたり減らしたりできる。

関連記事

Special

-PR-

東陽テクニカ、機能テストの裏でWebの脆弱性を動的に検出するソフト「Checkmarx CxIAST」東陽テクニカは2019年7月26日、Webアプリケーションの脆弱性検査ソフト「Checkmarx CxIAST」を発表した。Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出する。工数をかけずに「DevSecOps」(Webアプリケーションの脆弱性を検知してすぐに修正すること)を実現できる。2019年7月31日から販売する。開発会社は、イスラエルのCheckmarx。

PAGE TOP