ユービーセキュアは2021年10月5日、SaaS型開発テストツール「komabato(コマバト)」を発表し、提供を開始した。Webアプリケーションのセキュリティ上の脆弱性を、開発者自身がその場でセルフ検査できる。価格(税込み)は、1チーム(1システム)単位のベーシックプランで月額5万4780円。
ユービーセキュアの「komabato」は、開発中のWebアプリケーションの脆弱性を、Webアプリケーションの開発者みずからで検査できるテストツールである。クラウド型ツールでWebブラウザから利用する。テストのシナリオは、テスト対象のWebアプリケーションにアクセスし、Webブラウザ操作を記録することで作成できる。
図1:開発プロセスにセキュリティテストを組み込む(出典:ユービーセキュア)拡大画像表示
開発の進捗に合わせて、脆弱性テストが必要な部分だけを、開発者自身がその場で検査し、脆弱性の有無を確認できる(図1)。脆弱性検査を開発プロセスの中で行うテストの1つととらえて、第三者によるセキュリティ診断ではなく、開発者自身が主体的に行うセキュリティテストとして、開発プロセスに組み込める。
ツール提供の背景として同社は、多くの場合、ソフトウェアのセキュリティ診断は、総合テストの後に行われ、開発プロセスとは切り離されていることを挙げる。「このため、開発プロセスを高速化しても、セキュリティ診断と手直しに時間がかかってしまう。場合によっては、脆弱性を抱えたままシステムをリリースしてしまうこともある」(同社)。
komabatoの特徴は、システムを構成するURL単位で、細かくこまめにテストできることである。開発した増分のみに対してテストを実施できる。これらのテスト結果は、自動的に統合して管理できる。
脆弱性を検出できるだけでなく、検出した脆弱性を修正するタスクを管理できることも特徴である。担当者の指名、対応状況の管理、開発者間でのコミュニケーションなど、脆弱性を改修する工程で必要になる業務を総合的に支援する(図2)。
図2:komabatoのダッシュボード画面(出典:ユービーセキュア)拡大画像表示
komabatoではさらに、一般的な脆弱性の解説や、実装上の注意点および対処方法などの情報も提供する。他のメンバーの作業記録も互いに閲覧することで、チーム独自のナレッジを蓄積・共有することが可能になっている。
