脆弱性診断

セキュアなウェブアプリ構築は「素早い脆弱性の特定」がキモ:Synopsys幹部

ウェブアプリケーションに対する需要は高く、以前にも増して開発のスピードが求められている。その実現には「DevSecOps」と「CI/CD」が必須とされる。だが、従来の脆弱性検査手法では限界があるという。

既存の検査手法の“いいとこ取り”「ISAT」とは何か

 インターネットを介してさまざまなサービスやコンテンツを提供するウェブアプリケーション。いつでも、どこでも、どんなデバイスからでもネットワークに接続できる環境が整う現在、ウェブアプリケーションの利用は急増している。

 同時に、ウェブアプリケーションの脆弱性を狙った攻撃も後を絶たない。SQLインジェクションやOSコマンドインジェクション、クロスサイトスクリプティングといった攻撃手法は、昔も今も“健在”である。

 ウェブアプリケーションの根本的なセキュリティ対策は、「開発段階で脆弱性を把握し、作り込まない実装をする」ことだ。とはいえ、ウェブアプリケーションに対する需要は高く、以前にも増して開発のスピードが求められている。

 それを実現するためには、開発プロセスでセキュリティを透過的に組み込む「DevSecOps」と、アプリケーションのリリースプロセス全体を自動化する「継続的インテグレーション(Continuous Integration:CI)/継続的デリバリ(Continuous Delivery:CD)」が必須となる。

 「DevSecOpsとCI/CDを実現するためには、従来のウェブアプリケーション脆弱性検査手法では限界がある」と指摘するのは、米Synopsysでソリューションマネジメントディレクターを務めるOfer Maor(オファー・マオール)氏だ。

 同氏は、「既存の『SAST:Static Application Security Testing』や『DAST(Dynamic Application Security Testing)』といった検査方法だけでは、セキュリティ担当者や開発者の負担が大きすぎる」とし、「IAST(Interactive Application Security Testing)」が有益であると力説する。

 では、既存の脆弱性検査手法とIASTでは何が異なるのか。IASTがもたらすメリットとは何か。話を聞いた。

編集部おすすめの関連記事

残り本文:約2961文字 ログインして続きを読んでください。

あなたにおすすめの記事

関連記事

ホワイトペーパーランキング

  1. リモートワーク許可はすでに4割超え!? 意外な結果から見えてきた、働き方改革で本当に必要なもの
  2. マンガで綴るシステム運用自動化への道~あの企業はいかにして情シス部門の残業を激減させたのか?
  3. 「顧客の今」がなぜビジネスに貢献するのか - HBR調査で見る「リアルタイムアナリティクス」の効果
  4. 漏洩事件の3割、ウェブアプリへの攻撃が糸口に!?脅威トップ10を知り有効な対策を
  5. デジタル変革は、情シスの課題増加にも?─ITサービスマネジメントでビジネスをリードする部門に変身

編集部おすすめ

トレンドまるわかり![PR]

サーバ
PC・モバイル
ストレージ
ネットワーク
仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ
新興技術
財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
サイト構築
PCソフト
学習

ベンダー座談会

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]