理経は2009年12月4日、日本IBM社製Webアプリケーション脆弱性評価ツール「IBM Rational AppScan」の販売を開始した。同ツールは、Webアプリケーションのセキュリティおよびコンプライアンスを診断するテストツール製品で、一般的なWebアプリケーションに内在するSQLインジェクション、CGI、サーブレットなどクライアントからの要求に対し動的に応答するプログラムに潜むセキュリティ上の脆弱性を自動検知して、最適な修正案を提供するというもの。
同製品を利用することにより、オンライン環境でのコンプライアンス標準への準拠に対応できるほか、誰が検査をしても一定した水準での検査結果が得られるため、ユーザーのスキルにかかわらず、幅広いユーザーが使用可能としている。また、アプリケーションの開発工程上の検査に取り入れることで、開発の品質管理の基準を明確にできるとのこと。
発表による製品の特徴は以下のとおり。
- セキュリティ知識が十分でなくても使いこなしやすい設計
- セキュリティ検査にかかっていたコストの削減
- 開発者を対象とした問題の指摘方法
- 検査サービス会社での利用にもかなう検査性能
- 最新の脆弱性情報に基づく検査が可能
- 豊富なコンプライアンスレポート
IBM Rational AppScanには、以下の製品ラインナップが用意されている。
■ IBM Rational AppScan Standard Edition
Webアプリケーションの脆弱性と、Webサーバーなどインフラの設定ミスや潜在的な問題を検知する、Webアプリケーションセキュリティテストツール。以下の特徴がある。
- Webアプリケーションをブラックボックスとして検査するため、OSや利用言語によらず検査可能
- 自動化されたテストにより、網羅性を確保するだけでなく、テスト時間とコストの削減が可能
- 脆弱性の指摘に加え、修正方法の提示、レポートの作成
■ IBM Rational AppScan Developer Edition
開発ツールに統合されたWebアプリケーションセキュリティテストツールで、以下の特徴がある。
- Web アプリケーションを静的/動的両方の解析技術で検査
- 文字列解析と汚染解析で誤検出を削減
- セキュリティ専門家ではなく、開発者向けのデザイン
- Eclipse、Rational Application Developer(RAD)と統合
- 開発ライフサイクルのプロセスとツールに適合
- アプリケーションの問題を早期に発見可能
同社によれば、IBM Rational AppScan は以下のようなユーザーを対象としている。
- 十分なテストがされているかわからないため不安
- セキュリティ検査費用に多くのコストがかかっている
- 小規模な改修だからといってテストを省略しているので不安
- PCI DSS(Payment Card Industry Data Security Standard)などの標準規格に対応する必要がある
- 日々新たに増える脆弱性要素に対応できているか心配
同社では、同製品を各企業や大学、自治体へ販売するほか、顧客の要望に応じた診断コンサルテーションも提供していく。
