Article Detail
みずほ情報総研、「ソースコード脆弱性診断サービス」を提供開始
―アプリ開発初期段階でセキュリティ脆弱性を検出し、コスト削減&開発スピードup―
みずほ情報総研「ソースコード脆弱性診断サービス」を提供開始
みずほ情報総研株式会社(本社:東京都千代田区、代表取締役社長:西澤 順一)は、2013年6月18日より、ソフトウェアのアプリケーション開発段階において、ソースコードを元にアプリケーションのセキュリティ脆弱性を診断する「ソースコード脆弱性診断サービス」の提供を開始します。なお、本サービスには、日本ヒューレット・パッカード株式会社(略称:日本HP、本社:東京都江東区、代表取締役 社長執行役員:小出 伸一)の提供する、ソースコード解析ツール「HP Fortify SCA」を活用しています。本サービスは、アプリケーションへの脆弱性の混入を開発初期段階で防ぐことで、後工程での手戻り修正コストの発生を回避するほか、脆弱性の根本原因を特定することで、より安全性の高いアプリケーション開発を支援します。
近年、標的型攻撃をはじめとする情報セキュリティリスクの高まりを受け、企業ではより安全かつ信頼性の高いシステム構築が求められています。そのため、アプリケーションの開発においては、脆弱性診断の主流である動的解析(対象システムに対し、実際に擬似的な攻撃を行うことによりセキュリティの脆弱性を検証する手法)に加え、プログラムのソースコードを分析して脆弱性の根本原因を特定する、静的解析への注目が高まっています。実際、クレジットカード業界におけるグローバルセキュリティ基準である「PCI−DSS」の要件事項を満たすために静的解析ツールを導入する企業が増加したり、SIerがシステム開発の付加価値として静的解析ツールを導入したりと、国内においてもセキュリティ意識の高い企業が率先して静的解析を導入する傾向にあります。
このような背景のもと、みずほ情報総研では、みずほフィナンシャルグループ内で培った「HP Fortify SCA」を活用した静的解析に関するノウハウを活かし、プログラムのソースコードを分析してセキュリティの脆弱性を検出する静的解析サービス「ソースコード脆弱性診断サービス」を、幅広い業種に向けて提供することと致しました。なお、同サービスは、お客さま先にてセキュリティと品質の観点から脆弱性を検査して診断レポートを提示する「オンサイト診断」のほかに、検出された脆弱性について対応の優先順位付けやセキュア開発体制の構築を支援するコンサルティングサービスも用意しています。
通常、静的解析ツール自体の導入には、初期導入費用や運用スタッフの人件費など、費用面や管理面などでの負担が大きくかかりますが、今般提供する「ソースコード脆弱性診断サービス」の「オンサイト診断」の場合、1診断あたりの価格は95万円(税別)からと、ツールを導入する場合に比べ安価に利用でき、費用負担を大きく削減することが可能です。また、解析結果の提供までにかかる時間は約1週間と、価格とスピードの両面で優位性を発揮します。対応言語はJava、ASP.NET、PHPを含む21言語で、iPhoneやアンドロイド向けアプリケーションの解析も可能です。
みずほ情報総研と日本HPは、2011年10月よりテスト支援ソフトウェア分野で協業を開始し、日本HPが保有するテストツールと、みずほ情報総研が培ってきたテストプロセス改善ノウハウを組み合わせた「テスト自動化・最適化ソリューション」を提供しています。その過程において、みずほ情報総研では、同ソリューションの構成製品である「HP Fortify SCA」をはじめとしたテストツールの販売代理店として、各種テストツールに関するコンサルティングから販売、導入支援、導入後の保守・運用コンサルティングまで幅広いサポートを実施しています。両社では今後も協業を進め、システム開発におけるテスト工数とコストの削減、さらには品質向上に貢献するソリューションを提供して参ります。
<「ソースコード脆弱性診断サービス」のサービスメニュー>
※添付の関連資料「参考資料」を参照
<「ソースコード脆弱性診断サービス」の対応言語(全21言語)>
Java(with Android)、Classic ASP、ASP.NET、VB.NET、C#(.NET)、C/C++、PHP、PL/SQL、Objective−C、ColdFusion CFML、Python、ABAP、ActionScript/MXML、COBOL、T−SQL、JSP、JavaScript/AJAX、Visual Basic、VBScript、HTML、XML
*文中および脚注の商品名、その他の名称は、各社の商標または登録商標です。
「ソースコード脆弱性診断サービス」についての詳細は、こちらをご覧ください。
>ソースコード脆弱性診断サービス
http://www.mizuho-ir.co.jp/solution/improvement/it/system/codeshindan/index.html