ようこそゲストさん

ビジネス+ITを始める

  • スペシャル
  • 2014/10/15 掲載

サイバー攻撃のターゲットはアプリケーションへ~どう守ればよいのか?(2/2)

VERACODE社Brian LaFlamme氏に訊く

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。

「クラウド型バイナリ静的解析サービス」とは

 では、このバイナリ解析とは一体どういう手法なのだろうか? これはソースコード(Java、.Net、PJP、C/C++、Android、iOSなどのプログラム)を機械語にコンパイルした後で、セキュリティの脆弱性を調査するものだ。解析される情報は、1と0の数字の羅列となり、知的所有権を持つソースコードを直接さらすことなく、第三者のセキュリティサービス事業者に解析を依頼できるという最大の特徴がある。

画像
業界初となるVERACODEのクラウド型バイナリ静的解析サービスの特徴。「クラウド」「バイナリコードによる解析」「改修支援サポート」がポイントだ

 この技術はVERACODEが特許を取得しているものだが、同社は現在、バイナリレベルでの静的セキュリティ検査ができる唯一の企業となっている。Brian氏は「我々は2006年に設立されたベンチャーですが、すでにガートナーの評価において、アプリケーション・セキュリティ分野でリーダーポジションを獲得しています」と自信を見せる。

画像
第三者機関(ガートナー)による、アプリケーション・セキュリティ分野のポジションマップで、VERACODEはリーダー的な存在感を発揮している

 同社のセキュリティ診断サービスが評価されているのは、知的所有権をクリアできるという理由からだけではない。「たとえばバイナリ解析では、サードパーティのライブラリやプラットフォーム固有のコードが原因となる脆弱性のほか、従来のテストでは見えない悪意あるコードやバックドアも発見できます。また開発プロセスで、ほとんど変更を加えずに脆弱性の全体像を把握できるというメリットもあります。開発プロセスのPDCAサイクルを止めることがありません」(Brian氏)。

 VERACODEの静的解析サービスは、クラウド型であることもポイントだ。オンプレミスのように煩わしい準備をすることなく、すぐにセキュリティ検査が可能になる。プラグインが用意され、ユーザーはVisual StudioやEclipseなどの標準IDE(プログラム統合開発環境)から、ネットワークを通じてバイナリコードをアップロードできる。

画像
クラウド型バイナリ静的解析サービスの利用フロー。標準IDE経由で、ネットワークを通じてバイナリコードをアップロードし、テストを行う。その結果をIDEやブラウザから目視で確認できるほか、コード修正のサポートも受けられる

「検査結果は、アプリケーションに設定された重要度に応じて、目標レベルに達したか否か判定されます。またソースコード上で、該当の問題箇所を確認することも可能です」(Brian氏)。

画像
クラウド型バイナリ静的解析サービスの利用画面その1。プラグインでEclipseに組み込み、標準IDEでサービスを利用できる。ここからテスト結果も確認することが可能

画像
クラウド型バイナリ静的解析サービスの利用画面その2。セキュリティ結果の分析。5段階のセキュリティレベルや、脅威の種類(クロスサイトスクリプティング、CRLFインジェクションなど)がわかる

 クラウド型での提供は、VERACODE側にもメリットをもたらす。クラウドサービスによって発見された脆弱性は、常に同社のプラットフォームにフィードバックされ、その蓄積がセキュリティ対策のノウハウとなり、検出精度の向上(すなわち誤検知率の低さ)につながっていくからだ。Brian氏は「現在、他社の診断サービスでは誤検知率が50%以上もあります。しかし我々のサービスでは、誤検知率が5%から10%程度までと大幅に抑えられています」と強調する。

実際にどうやってプログラムを改修していけばよいのか

photo
テクマトリックス
セキュリティ営業部 特命課長
福山貴徳氏
 もう1つ、VERACODEのセキュリティ診断サービスが評価されるポイントがある。「我々の診断サービスが受け入れられているのは、技術的なポイントだけでなく、セキュリティ診断後の対処法にも理由があるからです」(Brian氏)。実際に診断サービスによって、新たな脆弱性が発見されたとしても、それがユーザー固有の問題として、どのような影響があり、実際にどうやってプログラムを改修していけばよいのか、よく分からないという声も多い。そこで同社では、ユーザー向けの改善支援サポートを実施しており、それが大いにユーザーに評価されているのだ。

 この改善支援サポートについては、国内で診断サービスを展開するにあたり、言語の問題が壁になる。そのため日本の販売代理店であるテクマトリックスから、手厚いサポートを実施していく予定だ。同社でVERACODEのセキュリティ静的診断の結果を事前に確認し、ユーザー側から改修支援コールがあったら、コードレビューと改修支援を行っていく。「具体的にはWeb会議システムを利用し、場所を気にせず、いつでもタイムリーなサポートが受けられる体制を整えていきます。このサポートは事前予約制になっており、チケット制でのサポート対応になります」(テクマトリックス 福山貴徳氏)。

画像
改修支援サポートの流れ。ユーザー側でVERACODEの診断結果を確認後、支援サポートの予約を行うと、テクマトリックス側で、ユーザーのコードを共有し、Web会議システムで改修サポートを実施してくれる

 このように、VERACODEが提供するクラウド型バイナリ静的解析サービスは、単独のアプリケーション・セキュリティ対策としては最も効果がある手法といえるだろう。特に肝になるのは、サービス導入後のユーザー向けの改善支援サポートだといえる。

 また将来的には、単独サービスのみならず、複数のツールを組み合わせたソリューションも重要になってくるだろう。Webアプリケーションの動的解析、手動/自動ペネトレーションテストなど、従来型アプローチをいくつか組み合わせれば、よりいっそう相乗効果が見込めるようになるからだ。そういう意味でVERACODEやテクマトリックスは、総合的なセキュリティ対策ソリューションを有しており、高度化・巧妙化する攻撃に対して万全なセキュリティ対策を提供できるため、今後も大いにユーザーに期待されることになるだろう。

<製品詳細>
VERACODE(テクマトリックス社)
https://www.techmatrix.co.jp/security/veracode/

クラウド型 アプリケーションセキュリティ静的解析ご紹介セミナー

開催日 2014/10/23 (木) 14:00~16:20
エリア 東京都 会場 東京コンファレンスセンター・品川 402号室
主催 テクマトリックス 定員-種別無料セミナー
お申し込みページはこちら

関連タグ

関連コンテンツ

記事
セキュリティ総論

辻伸弘氏が解説するランサム攻撃動向、「侵入されても発症させない」対策のキモとは

標的型攻撃やランサム攻撃など、企業を標的にしたサイバー攻撃は依然として大きな脅威となっている。さらに、取引関係にあるサプライチェーンや顧客にも攻撃対象は拡大しており、企業はこれらの脅威に対応していかなければならない。そこで、ランサム攻撃をはじめ幅広くサイバー空間の脅威の観測、情報発信を行うSBテクノロジーの辻 伸弘氏と、大興電子通信 セキュリティアドバイザーの中須寛人氏、富士通の斎藤 建氏、丸子正道氏が最新のマルウェア攻撃に対抗するためのポイントを紹介した。

記事
セキュリティ総論

“危険すぎる”国家が主導するサイバー攻撃、ウクライナ侵攻で見えた情報戦の変化とは

ロシア・ウクライナ戦争のさなか、スロバキアのセキュリティベンダーESETが、ロシアによるウクライナへの心理戦や情報操作を目的としたサイバー攻撃を確認・報告している。開戦前後はウクライナのインフラや政府機関を狙う攻撃であったが、戦争が長期化するにつれ、その攻撃にも変化が見られるという。現在は攻撃対象を広げ、その動きは周辺国をも巻き込み始めている。ESET CEOであるリチャード・マルコ氏への取材を交え、ロシアが仕掛けるサイバー攻撃の実態を暴く。

記事
セキュリティ総論

知らなきゃ“大事故”の可能性も、SaaS活用で陥る「6つの落とし穴」回避術

今や一般的になった企業によるSaaS(クラウドサービス)の導入。ユーザー部門にとっては利便性の高いサービスだが、間違った運用によりセキュリティ事故が発生するといったリスクもある。SaaS活用に潜むインシデントとは一体どんなものがあるのか。そしてそれらのインシデントを回避するにはどのような手法が有効なのかを解説する。

記事
セキュリティ総論

ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み

生成AIの利用が急増している。しかし、依然として生成AIに関する懸念はつきまとっており、生産性を改善しつつリスクをどう下げるのかが多くの企業のトピックとなっている。特に注目される「情報漏えい」をどう防ぐのか。続々と登場する新ソリューションを紹介しよう。

記事
セキュリティ総論

厳選!「日本のセキュリティ課題凝縮事例」から学ぶ、「インシデントを防ぐ組織」とは

日々、実に多くのセキュリティインシデントが発生している。この危機的な状況を前にして、新たにセキュリティ製品・サービス導入を検討する企業は多いだろう。だがそれ以前に、真の「インシデントが起こらない組織」をつくるためには、まず自社の現状を正確に分析し、既存の資産・資源をフルに活用する姿勢が重要になる。セキュリティの専門家集団として、さまざまな企業・組織に助言やプロジェクト支援を行っている日本シーサート協議会の萩原健太氏が、大阪の病院で発生したインシデント、いわば失敗事例から今すぐ取り組むべきセキュリティ対策の課題について解説する。

記事
セキュリティ総論

中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

高度化するサイバー攻撃に対して、XDRやSOC、脅威インテリジェンスといったセキュリティ対策が注目されている。しかし、これらの手法やソリューションを導入できる企業は限られている。実際にセキュリティ対策に十分な投資を行えるのは、予算も人員もある大企業だけなのが現状だ。では、いずれも限られる中小規模企業(SMB)はどこまで対応すればよいのだろうか。

イベント・セミナー
オンライン
オンライン

【サイバーセキュリティ最前線】エンドポイントセキュリティにおける最新技術と考え方

エンドポイントへのサイバー攻撃は深刻な脅威であり、ランサムウェアやフィッシング詐欺をはじめとする攻撃手法の進化に対抗するための強固な防御策が必要不可欠となっています。特にテレワークが普及する現代においては、脅威の入口となるリスクが高まっています。エンドポイントに対する対策を優先的に実施することで、セキュリティのガードレベルをあげることが重要です。 本セミナーでは、現在の情報セキュリティの状況と従来の対策の限界について解説をした上で、最新技術を取り入れた”三層防御”のセキュリティ対策とそれらを組み合わせた推奨構成例をご紹介します。

イベント・セミナー
オンライン
オンライン

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか?当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。
イベント・セミナー
東京都
東京都

Splunk Experience Day Tokyo 2024

CISCOとの統合を経て、さらにパワーアップしたSplunkは、AIを組み込んだ拡張性の高いデータプラットフォームを基盤に、先進的なセキュリティとオブザーバビリティのソリューションを展開して、デジタル環境全体のレジリエンスを強化します。Splunk Experience Day では、デジタル環境全体をサイバーセキュリティの脅威、ダウンタイム、その他深刻な事業リスクから保護する方法についてお客様成功事例とともにSplunkの活用例をご紹介します。皆様のご来場、社員一同心よりお待ちしております。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample