 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
日本HP、Webアプリの脆弱性を診断・修正する「HP Application Security Center」 |
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
問題点指摘のほか、実コード修正にも対応
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
HP ASCは、「戦略」「アプリケーション」「運用」の3本柱から成り立つHP Software製品群のうち、アプリケーションカテゴリの中に位置付けられる。同カテゴリには、アプリケーションの機能テストなどをカバーする「HP Quality Center」、負荷テストなどをカバーする「HP Performance Center」があり、それらと並んで、HP ASCではセキュリティテストをカバーする。 HP ASCの中には、「HP DevInspect」「HP QAInspect」「HP WebInspect」「HP Assessment Management Platform(以下、HP AMP)」の4製品がラインアップされており、アプリケーションの開発時、開発完了後の検査時、運用時などのシーンに応じて最適な利用が可能となっている。
■ 開発~運用の各シーンに最適な3製品
「ハイブリッドアナリシス」と呼ばれるこの機能が、他社のソースコード分析ツールにはない特長とのこと。製品自体は、IDEに統合して使うプラグインのようなもので、Visual Studio、Eclipse、Rational Application Developer、C#、Visual Basic、.NET、Javaなどの環境・言語に対応している。 価格は、ユーザーあたり43万1340円から。 HP QAInspectは、品質管理担当者などが開発完了後のQAテストとしてセキュリティチェックを行うツール。HP Quality Centerのプラグインとして提供されるもので、HP Quality Centerで機能テストなどの品質管理を行いながら、並行してセキュリティチェックを行うことが可能になる。このためHP QAInspectでは、HP Quality Centerの導入が利用の前提条件となる。 2007年にHPが買収したWebInspectのエンジンを採用しており、「セキュリティの深い知識を持たない品質管理担当者などでも使えるよう、機能の簡易化を図ったのが特徴」(増田氏)という。 WebInspectは、基本的にはWebアプリケーションの脆弱性を“自動的”に検査するツールである。が、Webアプリの構造が複雑な場合に、テスト内容をカスタマイズする“手動”検査機能も備えている。HP QAInspectでは、こうした高度なカスタマイズ機能などが省かれており、自動テストを行った後、レポートを出力するところまでをカバーしてくれる。 価格は、5ユーザーで809万5500円から。 HP WebInspectは、旧SPI Dynamicsの製品を再現したスタンドアロンのツール。テスト対象のWebサイトを自動解析してテストアイテムを作成した後、テストの自動実行、レポート出力を行ってくれる。 また、より詳細な手動検査を支援する「Toolkit」も豊富に搭載。例えば、セッション管理の構造が複雑で、自動でテストを行っても正常な結果を得られないような場合も、テスト内容をカスタマイズすることで正しく検査することが可能になる。またHP QAInspectと比べると、よりグラフィカルな操作性を提供してくれる。 レポート機能では、テスト結果の概要を示すサマリーレポートや、SOX法やPCI DSSなどに対応したコンプライアンスレポートなどが出力できる。 価格は、検査ドメインあたり305万1300円から。 ■ 他製品連携によるWebInspectの進化 日本HPの製品群に統合されたことで、WebInspectがある進化を遂げた。これまでWebInspectをはじめ、こうしたWebアプリケーション脆弱性診断ツールでは、検出された脆弱性に対して概要やそれによる影響、修正コードサンプルなどを提供するものの、実際にソースコードのどの部分をどのように修正するかは提示できなかった。それは、こうしたツールが、ブラックボックステスト用途に開発されていることに起因する。ブラックボックステストは、通常、ソースコードの中身は見ない。ハッカーが行う攻撃をパターン化して、外部から疑似攻撃リクエストを発行し、Webアプリケーションがどのようなレスポンスを返すかで脆弱性の有無を判断するのだ。 ソースコードの中身を精査するわけではないので、問題点が見つかっても、実際の修正案をレポートすることはできず、一般論的な修正コードサンプルを提供するのが限界だった。これを基に、実際の修正は開発者が手作業で行うしかなかったのだ。 それはそもそも、ソースコードの中身を見るホワイトボックステストと、外部からの疑似攻撃で挙動を見るブラックボックステストの方向性がまったく異なるため、仕方のないことだった。しかしユーザーの身になれば、実際にどう修正すべきかを提示してくれた方が、もっといえば自動で修正する機能があった方がありがたいのは言うまでもない。 HP WebInspectでは、HP DevInspectと連携することでそれが可能になる。増田氏によると「HP WebInspectで得た結果をHP DevInspectで展開することで、実際のソースコードの中から問題点をハイライトしたり、ポップアップされる具体的な修正案からApplyボタンを押すことで、実際のソースコードに適用したりすることが可能」という。 ■ 各テストツールの統合ビューを提供するHP AMP
HP AMPを導入することで、こうした運用管理を1台に統合することが可能になるのだ。具体的には設定の共有、パターンアップデートの一元化、テスト結果の一元管理、Webインターフェイスによる統合ビューなどを実現してくれる。 価格は、1716万2460円から。 ■ 日本市場で1年以内にトップベンダーへ
この市場は変化が早く、またWeb 2.0の普及によりリスクの増大も指摘されている。日本HPでは、今回のHP ASCをアプリケーション品質管理プロセスの重要要素として訴求し、同市場でのトップベンダーを目指す意向を見せている。 HPソフトウェア事業本部 マーケティング本部 河口雄一郎氏は、「同市場規模は、ものすごく大きいわけではなく、初年度は1けた億円といった売り上げになる見込み。だが今後ますます同分野が重要視されると見て、2年目には2けた億円の売り上げを目指す。1年以内には同市場で1、2位のトップベンダーになるよう販促に努めるつもりだ」とした。 そのために、パートナー強化を推進し、ビジネスの早期立ち上げを目指す意向。また、他製品やコンサルティングを含めた、統合的・戦略的なソリューションを提案していくつもりとした。 ■ URL 日本ヒューレット・パッカード株式会社 http://www.hp.com/jp/ ニュースリリース http://h50146.www5.hp.com/info/newsroom/pr/fy2008/fy08-147.html ■ 関連記事 ・ 日本HP、アプリケーション開発時の品質管理・性能検証ソフト(2007/08/28)
( 川島 弘之 )
|
