[新製品・サービス]

2019年7月29日(月)日川 佳三（IT Leaders編集部）

リスト

　Checkmarx CxIASTは、Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出するソフトウェアである（図1）。Webアプリケーションサーバーに検査エージェントを組み込んで運用する。ソフトウェア開発工程で実施する機能テストの裏で、脆弱性診断テストを自動で実施する仕組み。エージェントがWebアプリケーションの挙動を監視し、脆弱性をリアルタイムに検出する。

図1：Checkmarx CxIASTの概要。既存の機能テストや実際のWebアクセスの裏で、動的にWebアプリケーションの脆弱性を検出してソースコードとともに提示する（出典：東陽テクニカ）
拡大画像表示

　Webアプリケーション全体のデータフローを可視化できるので、自社製コードの脆弱性だけでなく、ソースコードがないサードパーティ製のライブラリについても脆弱性を検出できる。データフロー中に検出した脆弱性を、Checkmarx CxIASTが逆コンパイルしたソースコードとともに提示する。開発者は、修正すべき脆弱性がコード内のどこに存在するかを特定できる。

　脆弱性を検出できる対象言語は、Java、Node.js、C＃。検出可能な脆弱性は、デフォルトで、SQLインジェクション、XSS（クロスサイトスクリプティング）、CSRF（クロスサイトリクエストフォージェリ）、XXE（XML外部実体攻撃）、パラメータ改竄など約40種類。脆弱性の検出アルゴリズムのカスタマイズも可能で、検出対象の脆弱性を増やしたり減らしたりできる。