[新製品・サービス]

東陽テクニカ、機能テストの裏でWebの脆弱性を動的に検出する「Checkmarx CxIAST」

2019年7月29日(月)日川 佳三(IT Leaders編集部)

東陽テクニカは2019年7月26日、Webアプリケーションの脆弱性検査ツール「Checkmarx CxIAST」(開発元:イスラエルCheckmarx)を発表した。同年7月31日から販売する。Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出する。工数をかけずに「DevSecOps」(Webアプリケーションの脆弱性を検知してすぐに修正すること)を実現する。

 Checkmarx CxIASTは、Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出するソフトウェアである(図1)。Webアプリケーションサーバーに検査エージェントを組み込んで運用する。ソフトウェア開発工程で実施する機能テストの裏で、脆弱性診断テストを自動で実施する仕組み。エージェントがWebアプリケーションの挙動を監視し、脆弱性をリアルタイムに検出する。

図1:Checkmarx CxIASTの概要。既存の機能テストや実際のWebアクセスの裏で、動的にWebアプリケーションの脆弱性を検出してソースコードとともに提示する(出典:東陽テクニカ)図1:Checkmarx CxIASTの概要。既存の機能テストや実際のWebアクセスの裏で、動的にWebアプリケーションの脆弱性を検出してソースコードとともに提示する(出典:東陽テクニカ)
拡大画像表示

 Webアプリケーション全体のデータフローを可視化できるので、自社製コードの脆弱性だけでなく、ソースコードがないサードパーティ製のライブラリについても脆弱性を検出できる。データフロー中に検出した脆弱性を、Checkmarx CxIASTが逆コンパイルしたソースコードとともに提示する。開発者は、修正すべき脆弱性がコード内のどこに存在するかを特定できる。

 脆弱性を検出できる対象言語は、Java、Node.js、C#。検出可能な脆弱性は、デフォルトで、SQLインジェクション、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエストフォージェリ)、XXE(XML外部実体攻撃)、パラメータ改竄など約40種類。脆弱性の検出アルゴリズムのカスタマイズも可能で、検出対象の脆弱性を増やしたり減らしたりできる。

関連キーワード

東陽テクニカ / ソフトウェアテスト / DevSecOps / 脆弱性検査 / イスラエル

関連記事

トピックス

[Sponsored]

東陽テクニカ、機能テストの裏でWebの脆弱性を動的に検出する「Checkmarx CxIAST」東陽テクニカは2019年7月26日、Webアプリケーションの脆弱性検査ツール「Checkmarx CxIAST」(開発元:イスラエルCheckmarx)を発表した。同年7月31日から販売する。Webアプリケーションの脆弱性を、Webアプリケーション動作時に動的に検出する。工数をかけずに「DevSecOps」(Webアプリケーションの脆弱性を検知してすぐに修正すること)を実現する。

PAGE TOP