2006年4月20日
日本コンピュウェア株式会社
日本コンピュウェア、Webアプリケーションのセキュリティ向上を実現する新製品を
販売開始
〜開発現場のセキュリティ対策を実現。ASP.NETアプリケーションの脆弱性をコードレベル分析するDevPartner
SecurityChecker 2.0 日本語版 〜
日本コンピュウェア株式会社(本社:東京都港区虎ノ門、代表取締役:梨澤利隆、以下コンピュウェア )は本日、新製品であるASP.NETセキュリティ検査ツール「DevPartner
SecutiryChecker 2.0 日本語版」の販売開始を発表いたしました。
Webアプリケーションのセキュリティ対策は、IT部門にとって非常に大きな関心事となっています。多発する情報漏洩をはじめ、コンプライアンス、リスクマネージメントといった課題もIT部門に新たに加わり、アプリケーションに対するセキュリティ対策はますます重要になっています。
■ Webアプリケーションの攻撃に対する防御策はアプリケーション レベルから必要
Webサーバーのセキュリティ対策といえば、一般的にファイアウォール、IDS(不正侵入検知システム)、ウイルス対策などが主流です。しかし、Webアプリケーションへの攻撃に対しては、これらの対策だけでは不十分です。なぜなら、バッファ
オーバーフローやSQLインジェクションに代表される攻撃は、ファイアウォールやIDSでの防御では難しいからです。
ガートナーのリサーチレポートによると、アプリケーションへの攻撃の75%は、アプリケーション レベルで発生しています。(*1)
従って、セキュアなWebアプリケーションの構築には、アプリケーション レベルでの対応が重要であるということが言えます。
■ 開発初期にWebアプリケーションのセキュリティ対策を実現
今回発表したDevPartner SecutiryChecker 2.0日本語版は、Microsoft Visual
Studio 2005/2003と完全統合し、セキュアなASP.NETアプリケーションの開発を迅速化するセキュリティ検査ツールです。静的分析、実行時分析(ホワイトボックス
テスト)および保全性分析(ブラックボックス テスト)の3つの分析機能を組み合わせ、セキュリティ脆弱性の検出プロセスを自動化し、脆弱性をもつコードをピンポイントで特定します。
これにより、開発者はコードをチェックし、潜在的なエラーやセキュリティ リスクを確認できるだけでなく、セキュリティ問題への対処法や解決法に関する詳細な情報も得ることができるので、コードの品質向上とASP.NETアプリケーションのセキュリティ向上を実現できます。
また、開発初期段階でセキュリティ対策が可能なため、運用段階で対応する場合に比べ、工数およびコストを大幅に削減することができます。さらに、IT部門は、Webアプリケーションの脆弱性に起因するビジネス
リスクを軽減するための、適切な対策を講じることができます。
■ DevPartner SecurityChecker 2.0日本語版の機能と特長
1. Visual Studio 2005、Visual Studio .NET 2003に統合し、Visual Studioの統合開発環境から使用可能
2. 検査対象はディスカバリとディスカバリ マップで選択
| 手動ディスカバリ |
アクセスするページだけを検査 |
| 自動ディスカバリ |
アプリケーションの全てのページを検査 |
| ディスカバリ マップ |
前回の検査ページ情報を保存。回帰テストなど再テスト時に利用可能 |
3. セキュリティの脆弱性を3種類の分析機能で検出
| 静的分析 |
コンパイル時にソースコードをスキャンし既知の脆弱性を検出 |
| 実行時分析 |
ASP.NETアプリケーションを実行時に、コードの内部的な処理内容を検査し脆弱性を検出 |
| 保全性分析 |
ASP.NETアプリケーションに対して、既知のセキュリティ攻撃パターンで検査し脆弱性を検出 |
4. 各分析機能が検出する主な脆弱性(一部抜粋)
| |
適用可能な脆弱性ルール |
| 静的分析 |
安全性の欠如したコーディング
不正な暗号化API
安全性の欠如した.NETコードとアクセス許可
安全性の欠如したCOMとP/Invokeの使用など128以上 |
| 実行時分析 |
過度な特権の使用/パラメータの改ざん
特権で保護されているフォルダー内のファイルのアクセス
不正なレジストリの使用/不正な文字列の結合/不正なSQLの使用
不正な暗号化API/不正なCatchブロックなど113以上 |
| 保全性分析 |
SQLインジェクション/クロスサイト スクリプティング(XSS)/
Hiddenフィールド/セッション ジャック/コマンド ジャック/Googleハッキングの脆弱性/ASP.NETの標準機能であるクロスサイト
スクリプティング(XSS)対策、ValidateRequestのバイパスを利用した攻撃など151以上 |
5. 検出された脆弱性の分析結果とレポート
| サマリ タブ | 脆弱性の重要度とカテゴリの2つの分類でグラフィカルに表示 |
| 脆弱性 タブ | 分析によって検出されたすべての脆弱性をリストし、脆弱性に関する情報や修正情報を提供。ソースコードが利用できる場合は、ダブルクリックすると行単位で問題を特定 |
| レポート |
技術情報詳細レポートとサマリ レポートの2つで、XMLファイルにエクスポート可能 |
■システム要件
| ハードウェア |
CPU:Pentium III 850MHz (1.5GHz以上を推奨)
メモリ:512MB以上
ディスク:400MB以上
※1
解像度:1024×768以上 |
| OS |
Windows 2000 Professional SP4以上 + IIS 5.0
Windows 2000 Server SP4 以上 + IIS 5.0
Windows 2000 Advanced Server SP4以上 + IIS 5.0
Windows XP Professional SP2以上(32bit) + IIS 5.1※2
Windows Server 2003 Standard Edition SP1以上 (32bit) + IIS
6.0
Windows Server 2003 Enterprise Edition SP1以上 (32bit) +
IIS 6.0
Windows Server 2003 Web Edition SP1以上 (32biti) + IIS 6.0 |
| 対応統合開発環境 |
Visual Studio 2005/Visual Studio .NET 2003 |
| 対応言語など |
Visual C#、Visual Basic .NET |
※1 DevPartner SecurityCheckerは、インストール時にWindowsのインストールされているパーティション上で、
約260MBのディスク領域を使用します。このディスク領域が不足した場合、インストールができません。
※2 Window XP Home Edition、Tablet PC Edition、Media Center Editionはサポート対象外です。
■出荷開始と標準価格
DevPartner
SecurityChecker 2.0日本語版
■コンピュウェアについて
コンピュウェア コーポレーション (NASDAQ: CPWR) は、企業経営とIT資産価値の最大化を支援するためのソフトウェアとサービスを提供する世界的なリーディング
カンパニーです。コンピュウェアのソリューションは、開発期間の短縮、品質の向上、ビジネスを支えるアプリケーションのパフォーマンス強化を実現します。1973年に設立されたコンピュウェアは、Fortune
100社中90%以上を含む世界23,000社の大手企業のビジネスに貢献しています。
詳しくはhttp://www.compuware.com/をご覧ください。
■日本コンピュウェアについて
日本コンピュウェア株式会社は、米国コンピュウェア コーポレーションの日本法人として1992年に設立され、コンピュウェアの製品及びサービスの日本市場における販売とサポートと各種サービスの提供を行なっています。
詳しくは、http://www.compuware.co.jp/をご覧ください。
本件に関する報道関係者のお問い合せ先
日本コンピュウェア株式会社
マーケティング本部 広報企画
担当:斉藤 久美子、吉田 廣司
TEL:03-5473-4530, FAX:03-5473-4528
E-Mail:marketingjapan@compuware.com
|
