脆弱性診断

セキュアなウェブアプリ構築は「素早い脆弱性の特定」がキモ:Synopsys幹部

ウェブアプリケーションに対する需要は高く、以前にも増して開発のスピードが求められている。その実現には「DevSecOps」と「CI/CD」が必須とされる。だが、従来の脆弱性検査手法では限界があるという。

既存の検査手法の“いいとこ取り”「ISAT」とは何か

 インターネットを介してさまざまなサービスやコンテンツを提供するウェブアプリケーション。いつでも、どこでも、どんなデバイスからでもネットワークに接続できる環境が整う現在、ウェブアプリケーションの利用は急増している。

 同時に、ウェブアプリケーションの脆弱性を狙った攻撃も後を絶たない。SQLインジェクションやOSコマンドインジェクション、クロスサイトスクリプティングといった攻撃手法は、昔も今も“健在”である。

 ウェブアプリケーションの根本的なセキュリティ対策は、「開発段階で脆弱性を把握し、作り込まない実装をする」ことだ。とはいえ、ウェブアプリケーションに対する需要は高く、以前にも増して開発のスピードが求められている。

 それを実現するためには、開発プロセスでセキュリティを透過的に組み込む「DevSecOps」と、アプリケーションのリリースプロセス全体を自動化する「継続的インテグレーション(Continuous Integration:CI)/継続的デリバリ(Continuous Delivery:CD)」が必須となる。

 「DevSecOpsとCI/CDを実現するためには、従来のウェブアプリケーション脆弱性検査手法では限界がある」と指摘するのは、米Synopsysでソリューションマネジメントディレクターを務めるOfer Maor(オファー・マオール)氏だ。

 同氏は、「既存の『SAST:Static Application Security Testing』や『DAST(Dynamic Application Security Testing)』といった検査方法だけでは、セキュリティ担当者や開発者の負担が大きすぎる」とし、「IAST(Interactive Application Security Testing)」が有益であると力説する。

 では、既存の脆弱性検査手法とIASTでは何が異なるのか。IASTがもたらすメリットとは何か。話を聞いた。

編集部おすすめの関連記事

残り本文:約2961文字 ログインして続きを読んでください。

あなたにおすすめの記事

関連記事

ホワイトペーパーランキング

  1. 対談:「2025年の崖」とクラウドによるデータ活用の可能性
  2. 4社に1社が事故を経験! マルチクラウド時代のセキュリティとは
  3. 長期保存データの最適解! 自動階層化+クラウドオフロードを簡単に実現するには
  4. スマホ普及率が71.8%越えに─失敗しないモバイルマーケティングの実践方法とは
  5. DX時代に必須! 「サイバートランスフォーメーション」の要諦

編集部おすすめ

トレンドまるわかり![PR]

サーバ
PC・モバイル
ストレージ
ネットワーク
仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ
新興技術
財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
サイト構築
PCソフト
学習

ベンダー座談会

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]