Contrast Security
脆弱性診断・防御ソリューション

contrast seclogo
高速アプリケーション開発に対応した
脆弱性診断・防御ソリューション
あらゆるビジネス/IT領域で環境変化が激しい現代において、変化に俊敏に反応し、ソフトウェアをリリースしていくための高速開発プロセス「DevOps」の実現が企業に求められています。
一方、組織やチームは「DevOps」の目指すスピードに合わせてセキュリティを担保していくことは従来の手法では難しく、「DevOps」にセキュリティを織り込んだ「DevSecOps」に対応できる方法が求められます。
アジャイル・高速な開発プロセスに追従する脆弱性診断・防御ソリューションContrastを活用することで、「DevSecOps」を実現できます。

DevOpsとセキュリティ

セキュリティの課題

あらゆる市場においてデジタル変革が急速にすすんでいく中、IoT、クラウド、スマホ、AR/VR、AI やエッジコンピュータといった新技術が開発、投⼊されることにより、ソフトウェア開発ライフサイクルや管理の複雑性は増⼤しています。また、新しいソフトウェアを短期間で開発し、ビジネスの変化に応じて、開発されたソフトウェアを迅速に変更していく必要も高まっています。一方で、開発されたソフトウェアのテスト・検証をする過程では、様々な課題が明らかになってきました。

セキュリティの課題

DevSecOpsによる解決

アプリケーションのDevelopment(開発)とOperations(運用)にセキュリティの要素も取り込む「DevSecOps」というコンセプトがますます重要になってきています。Contrast製品は、この「DevSecOps」の推進を強力にサポートします。

DevSecOpsによる解決

Contrastとは

Contrastは、「DevSecOps」におけるセキュリティの課題を、新たなアプリケーションセキュリティ技術基盤により解決します。
インテリジェントなContrastエージェントがコードに組み込まれ、スマートセンサーが展開前に脆弱性を検出して修正し、動作中のアプリケーションを保護します。

このように、Contrastのインテリジェントセンサーは、従来型のセキュリティツールでは不可能であった、個々のアプリケーションを保護することができます。

Contrastは以下の2製品で構成されます。個々の製品を選択することが可能です。

Contrast Assess(IAST)
ソフトウェアの脆弱性検査を行うセキュリティ・テスト・ソリューションで、IASTと呼ばれる脆弱性検査機能を提供します。アプリケーションサーバに検査用のエージェントを組み込み、アプリケーションの挙動を監視しながら脆弱性の検出を行います。スキャンという概念がなく、アプリケーションを操作してゆく中で検出が始まるため、自動化されたその他のテストと組み合わせることで、継続的な脆弱性検査が可能となります。また、アプリケーションで利用しているOSSなどサードパーティーコンポーネントの種類やバージョンを識別でき、脆弱性情報データベースと組み合わせ、利用中のコンポーネントの既知の脆弱性を自動的に検出することが可能です。 IAST機能のほか、ソフトウェア構成分析、コンフィグレーション分析機能も有しています。
Contrast Protect(RASP)
稼働中のウェブアプリケーションへの攻撃をリアルタイムに検知し、自己防御を行うランタイム・ソリューションです。ライブラリやサーバソフトウェアの脆弱性に対して、パッチを当てる前に自動的にアプリケーションの保護を行うことができます。

特長

01

機能が凝縮されたプラットフォーム

Contrastは、様々な脆弱性検査機能と攻撃防御機能をもっています。Contrastプラットフォームをご利用いただくことで、開発から運用までの、一貫したアプリケーションセキュリティ対策をとることが可能です。

機能が凝縮されたプラットフォーム

02

容易な展開

Contrast Assessには、各アプリケーションサーバにインストールされるエージェントと、エージェントによって特定された脆弱性を収集、分析、報告し、展開を制御するための集中管理サーバが含まれます。 そのため、ビルド・テスト・デプロイ・サイクル、ソフトウェア・スタック、またはランタイム環境を変更する必要はありません。

容易な展開

03

パッシブセンサーによる分析

パッシブセンサーにより、アプリケーションに関する情報へのアクセスが増え、脆弱性を識別する際に前例のないレベルの速度と正確さが実現されます。

パッシブセンサーによる分析

04

継続的な安全確保が可能
  • バックグラウンドで動作するため、セキュリティテストの必要がありません。
  • アプリケーションと並行して動作するため、設定も不要です。
  • セキュリティデータのモニタリングを実施します。

継続的な安全確保が可能

05

既存ツールとの連携

APIが提供されているため、検出した脆弱性をSlack、JIRA等の開発ツールを利用して、通知することが可能です。

既存ツールとの連携

ご提供価格
個別見積り

導入アプリケーション数・ユーザ数で価格が変わります。
詳細は下記のフォームよりお問い合わせください。