開発者にもフォーカスした新UIを導入

ウォッチファイア、Webアプリ脆弱性検査ソフトの新バージョン

2007/03/15

 ウォッチファイア・ジャパンは3月15日、日本語に対応したWebアプリケーション脆弱性検査ソフトの新バージョン「AppScan 7」(アップスキャン7)を3月30日から出荷すると発表した。価格は年額95万円(税別)から。価格にはアップグレード込みの年間保守が含まれる。

 AppScan 7はWebアプリケーションの脆弱性検査に必要な「アプリケーションの探査」「テスト」「問題の内容と修正方法の提示」「レポート作成」の過程を自動化するソフトウェア。従来、時間とコストのかかる手動で行われてきた検査を自動化する。金融、IT、政府機関などの大手をはじめ、ワールドワイドで800社以上、日本国内で約100社がAppScanを利用しているという。

 検査対象となるWebアプリケーションのURLを登録すると、自動的に検査対象のページをリストアップし、それらのページに対してあらかじめ定義されたテスト項目を適用する。従来のクロスサイト・スクリプティングやSQLインジェクションといった一般的な検査項目に加えて、新バージョンではAjaxやSOAP1.2に対応し、さらに“キャプチャ”入力の半自動化や個人情報保護関連のチェックまでをカバーした。

appscan01.png AppScan 7のレポート画面(クリックで拡大)
appscan02.jpg 米ウォッチファイア社長兼CEO ピーター・マッケイ(Peter McKey)氏

 ユーザーとして侵入検査サービスの提供企業や、法人内の情報セキュリティのマネージャなどを対象としているが、Webアプリケーション開発者ユーザーの割合も増えつつあるという。新バージョンでは開発者向けに「修復ビュー」を実装。問題点をジャンル別にリストアップするのではなく、修復が必要な箇所を直接表示するようにした。開発者は修復ビューを使うことで、修正が必要な箇所が具体的に分かるようになった。「情報科学系の大学を出たばかりの開発者はセキュリティを考えずに開発している場合が多い」(マッケイ氏)とし、開発者への啓蒙が必要という。

 開発者教育を目的として、米国本社ではeラーニング教材「AppScan University」を提供している。1項目15分、計30時間の教材で、AppScanの使い方から、Webアプリケーション作成時にセキュリティ上注意すべき点までをカバーする。2006年の夏にリリースしたAppScan製品に限らない一般コースは、すでに100社以上が受講したという。現在、ウォッチファイア・ジャパンでは同教材の日本語化に向けた作業を始めたところだが、「オンラインでの受講というスタイルが日本で受け入れられるかという問題もある」(ウォッチファイア・ジャパン ビジネス・デベロップメント部長 雨宮吉秀氏)ため、教材の提供時期や提供方法は未定だ。

 なお、米国では同ソフトウェアをSaaS形式で提供するサービス「AppScan Enterprise OnDemand」を始めているが、年内をめどに同サービスの日本語版もリリースする予定だという。

(@IT 西村賢)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)