Tweet

ソースコード解析とペネトレーションテストを有機的に統合

日本HPが脆弱性解析ソフトの新版、ハイブリッド解析を可能に

2011/06/14

　日本ヒューレット・パッカード（日本HP）は6月14日、アプリケーション脆弱性の解析ソフトウェアの新バージョンを発表した。ソースコードを解析してアプリケーションの脆弱性を静的に解析する「HP Fortify 360 V3.0」と、ペネトレーションテストによって脆弱性を検出する動的解析ソフトウェア「HP Web Inspect 9.0」だ。

　HPでは、「アプリケーションライフサイクルの中で、セキュリティは重要な位置付けにある」（日本HP HPソフトウェア事業統括 ビジネス・テクノロジー・ソリューションズ統括本部 Fortify事業部 事業部長 新造宗三郎氏）という観点から、買収した米フォーティファイの技術をベースに、脆弱性解析ソフトウェアのラインアップを強化してきた。

　その両輪を構成するのが、HP Fortify 360とHP Web Inspectだ。前者はアプリケーションのソースコードを基に内部構造などを分析し、脆弱性を発見する。ロジックを網羅的にチェックできること、ピンポイントで原因を特定できることなどが特徴だ。一方後者のHP Web Inspectは、Webアプリケーションサーバに対して擬似的に攻撃を実行し、脆弱性を発見する。実行環境も含めてテストを行い、リスクに応じて問題の優先順位付けを行えるというメリットがある。

　新バージョンではHP Fortify 360 V3.0のオプションとして、両製品を連携させるコンポーネント「HP Fortify 360 Security Scope」を追加した。「動的解析と静的解析の結果を有機的に統合するためのコンポーネント。両方の解析結果を結び付けて、よりピンポイントに問題を特定できる」（新造氏）という。

　HP Fortify 360 Security Scopeは、静的セキュリティテスト（SAST）と動的セキュリティテスト（DAST）の仲介役として動作して、ハイブリッドアナリシスを実現する。具体的には、デバッグ用APIを利用してアプリケーションを動作させながら監視し、問題をトレース。ソースコードのファイル名／行番号とURLを結び付け、解析することが可能だ。これにより、SQLインジェクションやクロスサイトスクリプティングといった脆弱性の在りかを正確に把握し、より迅速に修正できるよう支援するという。

　HP Fortify 360 Security Scopeで解析可能なのは、.NETおよびJavaアプリケーション。つまり、基幹に近いアプリケーションが対象だ。

　ほかに、HP Fortify 360 V3.0単体では、SAPの開発言語である「ABAP」や.NET 4.0、Webshpere 6.0といったプラットフォームをサポート。またHP Web Inspect 9.0では、Webブラウザの操作内容を記録できるログインマクロ機能を追加し、より複雑なアプリケーションテストを行えるようにしている。

　価格は、HP Fortify 360 V3.0が336万円から、HP Web Inspect 9.0は252万円から、HP Fortify 360 Security Scopeは168万円から。いずれも7月1日から販売を開始する。