脆弱性診断

セキュアなウェブアプリ構築は「素早い脆弱性の特定」がキモ:Synopsys幹部

ウェブアプリケーションに対する需要は高く、以前にも増して開発のスピードが求められている。その実現には「DevSecOps」と「CI/CD」が必須とされる。だが、従来の脆弱性検査手法では限界があるという。

既存の検査手法の“いいとこ取り”「ISAT」とは何か

 インターネットを介してさまざまなサービスやコンテンツを提供するウェブアプリケーション。いつでも、どこでも、どんなデバイスからでもネットワークに接続できる環境が整う現在、ウェブアプリケーションの利用は急増している。

 同時に、ウェブアプリケーションの脆弱性を狙った攻撃も後を絶たない。SQLインジェクションやOSコマンドインジェクション、クロスサイトスクリプティングといった攻撃手法は、昔も今も“健在”である。

 ウェブアプリケーションの根本的なセキュリティ対策は、「開発段階で脆弱性を把握し、作り込まない実装をする」ことだ。とはいえ、ウェブアプリケーションに対する需要は高く、以前にも増して開発のスピードが求められている。

 それを実現するためには、開発プロセスでセキュリティを透過的に組み込む「DevSecOps」と、アプリケーションのリリースプロセス全体を自動化する「継続的インテグレーション(Continuous Integration:CI)/継続的デリバリ(Continuous Delivery:CD)」が必須となる。

 「DevSecOpsとCI/CDを実現するためには、従来のウェブアプリケーション脆弱性検査手法では限界がある」と指摘するのは、米Synopsysでソリューションマネジメントディレクターを務めるOfer Maor(オファー・マオール)氏だ。

 同氏は、「既存の『SAST:Static Application Security Testing』や『DAST(Dynamic Application Security Testing)』といった検査方法だけでは、セキュリティ担当者や開発者の負担が大きすぎる」とし、「IAST(Interactive Application Security Testing)」が有益であると力説する。

 では、既存の脆弱性検査手法とIASTでは何が異なるのか。IASTがもたらすメリットとは何か。話を聞いた。

編集部おすすめの関連記事

残り本文:約2961文字 ログインして続きを読んでください。

「脆弱性診断」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版
  2. 単なるバズワードか? 本質が見えにくい「ゼロトラスト」の5つの疑念を払拭せよ
  3. DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言
  4. 悲惨な「ひとり情シス」を脱却するための7つの話題!うまく回している人が実践していることとは?
  5. これからはじめる! やさしい IDaaS と Azure AD の基本

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]