株式会社ユービーセキュア(本社:東京都中央区、代表取締役社長:松田 陽子、以下「ユービーセキュア」)は、Webアプリケーションの開発現場で手軽にセキュリティ上の脆弱性を検査できる、新たなセキュリティテスティングツールを開発しました。「komabato(コマバト)」の名称で、本日からSaaS型でのサービス提供を開始します。
DX(デジタルトランスフォーメーション)の進展に伴い、昨今のシステム開発ではDevOps[i]などのキーワードに代表されるスピーディな開発手法が採用されるようになり、開発からリリースまでの一連のプロセスが高速化しています。一方、多くの場合、開発したソフトウェアのセキュリティ診断は総合テストの後に行われ、開発プロセスとは切り離されています(図1)。
そのため、開発プロセスの高速化にセキュリティ対策を対応させることができずに、セキュリティ診断とそれに基づく手直しに金銭的および時間的なコストがかかったり、セキュリティ診断を行わずに脆弱性を抱えたままシステムをリリースしてしまったりするという課題を抱えています。
komabato は、開発の進捗に合わせて、セキュリティテストが必要な部分だけを、開発者自らがその場で検査し、脆弱性がないかどうかを確認することができるツールです。脆弱性検査を、「開発プロセスの中で行うテストの一つ」と捉え直し、第三者による「セキュリティ診断」ではなく、開発者自身が主体的に行う「セキュリティテスト」として、開発プロセスへの組み込みを実現します(図2)。
komabatoの具体的な機能・特長は、以下の通りです。
- URL単位でこまめにテスト可能
近年のシステム開発においては、俊敏性(アジリティ)が重視され、細かい単位で機能を積み重ねていく開発プロセスの採用が増えています。このようなプロセスにおいては、開発した増分のみに対して、効率良く、繰り返しテストを実施していくことが求められます。しかしながら、従来のセキュリティ診断では、アプリケーションの開発後に全体へのスキャンを一度だけ実施することを前提に設計されており、上記のニーズに合致していませんでした。
komabatoは、システムを構成するURLを個別に管理し、URL単位で細かくセキュリティのテストをすることが可能です。また、結果を自動的に統合して管理するため、繰り返してテストをし続ける場合にも適合しています。 - 脆弱性の検出だけでなく、判断・修正までをトータルで支援
セキュリティ診断で使われる脆弱性検査ツールは、主に脆弱な箇所の検出に重点が置かれており、多くの場合その後の判断・修正については十分にサポートされていませんでした。これに対してkomabatoでは、脆弱性はバグと同様に「検出した後の判断・修正こそが大切」との考えをもとに、検出された脆弱性の修正までをタスクとして管理する機能を実現しました。担当者の指名や、対応状況の管理、開発者間でのコミュニケーションなど、改修工程で必要な業務を総合的に支援します(図3)。
- サーバの構築が不要、ブラウザで簡単操作
komabatoはSaaSの形で提供します。導入企業・組織において、サーバやPCなどの実行環境を構築する必要はなく、ブラウザを起動すればすぐに使い始めることが可能です。また、テストのために必要なシナリオについても、対象アプリケーションを開いて、ブラウザ操作を記録するだけで作成でき、複雑な設定も必要ありません。そのため、ツールを使い始めるための学習コストが低く、誰でも簡単にセキュリティテストが実施できます。 - 開発チームのセキュリティ対応力を高めるナレッジ共有機能
開発チームの一人ひとりにとって、セキュリティは必ずしも専門分野ではなく、脆弱性の判断・修正方法についての知識を持っていないメンバーも存在します。komabatoは、専門知識のないメンバーを含め開発チーム全員が利用できるように設計・開発されています。セキュリティテストを実施できるだけではなく、他のメンバーの作業記録等もお互いに閲覧でき、一般的な脆弱性の解説や、実装上の注意点および対処方法などの情報はkomabatoが提供するため、そのチーム独自のナレッジを蓄積・共有できます。それにより、チーム全員のセキュリティレベルの底上げにつながることが期待できます。
komabatoにかかる費用は、1チーム(1システム)あたり、ベーシックプランで月額54,780円 (税抜価格 49,800円)です。
詳細については、以下のWebサイトをご参照ください。
≪こちら≫
ユービーセキュアでは、国内市場でシェア1位[ii]のWebアプリケーション脆弱性検査ツール「Vex」を開発してきたノウハウを活かしつつ、これからもkomabatoをはじめとしたセキュリティソリューションの開発・提供を通じて、企業・組織におけるセキュアなアプリケーション開発を支援していきます。
[i] DevOps:
システム開発(Development)と運用(Operation)を密接に連携させ、迅速かつ頻繁にソフトウェアを開発する手法のこと。
[ii] 国内市場でシェア1位:
「富士キメラ総研 2020 ネットワークセキュリティビジネス調査総覧(セキュリティ検査ツール/Web アプリケーション型より2016年度~2019年度実績)」に基づく。Vexの詳細については、以下のWebサイトをご参照ください。
【お知らせに関するお問い合わせ先】
株式会社ユービーセキュア
お問い合わせフォーム:https://www.ubsecure.jp/inquiry