Webアプリケーション IASTツール
Webアプリケーションの脆弱性診断を開発工程における機能テストと同時実行。早期かつローコスト、高精度での脆弱性検出を可能とし、アプリケーション・セキュリティを実現します。世界最先端のWebアプリケーション向け脆弱性検出ツール
Seekerは、業界をリードするWebアプリケーション向けIAST (Intereactive Application Security Testing) ソリューションです。通常ソフトウェア開発の最終盤において高い専門性を求められながら実行される脆弱性診断を、より早い工程で実施する “シフトレフト” を実現。DAST (Dynamic Application Security Testing) やペネトレーションテストといった従来のセキュリティテストにおける検出タイミングや正確性の課題を解決し、開発とサービスに迅速さと安定をもたらします。
製品の概要
こちらの動画では、JavaペースのWebアプリ「WebGoat」を例に、Seekerのインストールから脆弱性の検出方法、検出された脆弱性の解析結果詳細について、ご紹介します。
<内容>
1.脆弱性を検出するためのSeeker設定手順
2.JavaベースのWebアプリ「WebGoat」を例にした脆弱性の検出方法
3.Seekerにて検出された脆弱性の解析結果詳細
- 検出された脆弱性のコードとその原因
- 脆弱性発生時にアプリ内で処理するデータの流れ
- 脆弱性が検出されたHTTPリクエストの詳細
- この脆弱性に関する過去の検出履歴
- 脆弱性に対する修正指示
- その脆弱性に関するオンライントレーニング資料の紹介
機能とメリット
セキュリティテスト自動化のためのIASTツール
近年、アプリケーションのセキュリティ・テストは、ソフトウェア開発ライフサイクル (SDLC) プロセスの一環として対応する必要性に迫られています。Synopsys社のSeekerは 独自のランタイムコードとデータフローの相関関係を使用して、識別されたすべての脆弱性を検証し、その脆弱性が本物であり、悪用可能であることを速やかに確認します。さらにハッキングやサイバー攻撃をシミュレートし、各脆弱性が現実的なものであることを検証し、各脆弱性を示すビデオクリップと、問題を迅速かつ正確に解決するために必要なあらゆる機能を提供。また、複雑な脆弱性の問題を解決し、従来のテクノロジーや手法では検出できない論理的な欠陥を発見します。Seekerが実現するIASTソリューションにより、 CI/CDのワークフロー環境において万全なセキュリティを統合・運用することが可能となります。
開発の早期の段階で、脆弱性を検出
- 機能テスト完了後に、脆弱性診断を自動実行。SDLCでのシフトレフトを実現
- CI/CDと連携し、DevSecOps開発環境を実現
- 納期とコストを改善し、開発プロジェクトを安定的に運営
- Synopsys社の特許アクティブ検証テクノロジーにより、特定された脆弱性の再テストを自動実行
- 特定された脆弱性が実在するものか、不正プログラムとして利用される可能性があるかを高精度に自動検出
- 重要な脆弱性に関するビューをリアルタイムで提供
- 最重要データが不十分な暗号化のまま保存されている箇所をトラッキング
- PCI DSS、GDPRなどの主要な業界標準や規制への確実な準拠を支援
レポート画面例
直感的にわかるシンプルなレポートで、Webアプリケーションの脆弱性をいつでも・すぐ検知。検出結果のレポート例をご紹介します。
検出結果一覧
検出した脆弱性を一覧化。検出された脆弱性やリスク度、検知された時にアクセスしていたURL、検知回数などが一目でパッとわかります。
検出した脆弱性情報
どのコード行に脆弱性が存在するのかを、脆弱性となる理由とともに指摘します。
検出時のデータ処理
脆弱性が検出された際のデータ処理状況をコードレベルでトレース(追跡)することができます。
修正方法のアドバイス
検出された脆弱性の修正方法を具体的にアドバイスします。
検出結果はPDFなどで出力可能
- 各コンプライアンス規格に照らし合わせて、Webアプリケーションのセキュリティ状態を可視化できます
- さまざまな形式で出力可能です(PDF、CSV、JSON、XML)
Seeker×Eggplantによる、
網羅的かつ高精度な機能テスト・脆弱性診断の自動実行
Seekerと、高精度で圧倒的な網羅性を達成するEggplantによる機能テストとの組み合わせは極めて有効です。まずEggplant は、テスト対象アプリケーションを状態遷移制御し、網羅的な機能テストを自動実行します。一方、SeekerはEggplantによる機能テストと連動して、高精度な脆弱性テストを自動実行。この両方の同時実行によってWebアプリケーションの脆弱性を網羅的かつ高精度、またスピーディに自動検出することが可能となります。
SeekerとEggplantとの連携により、計画通りのリリース、および手戻り工数が削減され、従来のDASTツールまたペネトレーションテストの代替として、あるいはその実行要件を大幅にカット。また、セキュリティを早い段階から組み込むことでシフトレフトによるCI/CDおよびDevSecOpsの開発環境実現を可能にします。