東陽テクニカは2019年7月26日、Webアプリケーションの脆弱性検査ツール「Checkmarx CxIAST」(開発元:イスラエルCheckmarx)を発表した。同年7月31日から販売する。Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出する。工数をかけずに「DevSecOps」(Webアプリケーションの脆弱性を検知してすぐに修正すること)を実現する。
Checkmarx CxIASTは、Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出するソフトウェアである(図1)。Webアプリケーションサーバーに検査エージェントを組み込んで運用する。ソフトウェア開発工程で実施する機能テストの裏で、脆弱性診断テストを自動で実施する仕組み。エージェントがWebアプリケーションの挙動を監視し、脆弱性をリアルタイムに検出する。
図1:Checkmarx CxIASTの概要。既存の機能テストや実際のWebアクセスの裏で、動的にWebアプリケーションの脆弱性を検出してソースコードとともに提示する(出典:東陽テクニカ)拡大画像表示
Webアプリケーション全体のデータフローを可視化できるので、自社製コードの脆弱性だけでなく、ソースコードがないサードパーティ製のライブラリについても脆弱性を検出できる。データフロー中に検出した脆弱性を、Checkmarx CxIASTが逆コンパイルしたソースコードとともに提示する。開発者は、修正すべき脆弱性がコード内のどこに存在するかを特定できる。
脆弱性を検出できる対象言語は、Java、Node.js、C#。検出可能な脆弱性は、デフォルトで、SQLインジェクション、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエストフォージェリ)、XXE(XML外部実体攻撃)、パラメータ改竄など約40種類。脆弱性の検出アルゴリズムのカスタマイズも可能で、検出対象の脆弱性を増やしたり減らしたりできる。
