テクマトリックス、ソースコードに潜む脆弱性を検出する「Jtest Security」

システムエンジニアリング事業部 ソフトウェアエンジニアリング営業部 ソフトウェアエンジニアリング営業第二課の山田新吾氏

　テクマトリックス株式会社は8月4日、ソースコードに潜む脆弱性を自動検出する「Jtest Security」の販売を開始したと発表した。

　Jtest Securityは、米Parasoftが開発するWebアプリケーションのソースコードセキュリティ検証ツール。「静的解析」と「フロー解析」でソースコードを検証し、セキュリティの脆弱性につながるコーディングの問題を直接/間接的に検出する。

　「クロスサイトスクリプティング」「SQLインジェクション」「HTTPレスポンス分割」「不適切なエラー処理」「安全でない暗号化」といった、PCIDSS/SANS TOP 25/OWASP TOP 10などで発表されているWebアプリケーションの脆弱性を検出するための全38カテゴリ、1000種類以上のコーディングルールを搭載。加えて、リソースリークや不定・不良データへのアクセス、バグの可能性、パフォーマンスの劣化といった品質に影響するようなコードの検出も可能という。

　対象ファイルはJavaファイルのほか、JSPファイル、web.xmlファイルに対応。WebSphereやApache AxisなどWebコンポーネントの設定ファイル上に起因する脆弱性もチェックできる。コーディングルールの追加・カスタマイズを行う「RuleWizard」機能も搭載するため、過去のコーディングエラーパターンや、独自セキュリティポリシーに基づくルールも追加実装できる。

　テストはツール上から特定のファイルを選択するだけ。コーディングルールを使用したパターンマッチング解析を行う「静的解析」のほか、処理フローを検証して問題点を見つける「フロー解析」にも対応するため、複数のクラスやパッケージにまたがる実行パスで発生する可能性のある問題を検出するなど、パターンマッチング解析のみよりも詳細に問題を見つけられる。テスト結果はカテゴリ別に表示され、重要度とともに内容が示される。その理解を助けるため、ルールごとに日本語化されたヘルプが用意されているほか、コードの自動修正にも対応している。

　対応プラットフォームは、Windows 2000/XP/2003 Server/Vista、Red Hat Enterprise Linux 3/4/5、Solaris 8/9/10。プラグイン可能な統合開発環境は、Eclipse 3.0～3.4、RAD 6.0/7.0/7.5、JBuilder 2007。

　ライセンス価格は120万円（税別）。12月末日までは発売記念キャンペーンとして99万8000円（同）で提供する。同価格には1年間の保守サービスが含まれており、保守のみ年間更新が必要となる。

　ライセンス販売のほか、同社では無償・有償含め各種のサービスを提供する。無償サービスとして提供するのは、実際にJtest Securityを操作しながら学ぶ「ハンズオンセミナー」、同社エンジニアがユーザー環境にて静的解析やフロー解析を実施する「評価支援」など。有償サービスとして提供するのは、RuleWizardの使い方などを学ぶ「トレーニング」のほか、カスタムコーディングルールの作成支援を行うサービス、Jtestによるテスト運用を自動化する仕組みを構築する「ナイトリービルドシステム環境構築サービス」など。

　システムエンジニアリング事業部 ソフトウェアエンジニアリング営業部 ソフトウェアエンジニアリング営業第二課の山田新吾氏は、「もっとも多くのセキュリティ問題が混入する工程が『実装』。Jtest Securityは、その設計・開発フェーズで使用する。脆弱性の修正コストはデザインフェーズを1とすると、運用段階では100倍になるとされる。後になればなるほど修正コストは高くつくことを示しているのが、設計・開発の段階でしっかり検査することで、低コストでセキュアなアプリケーションを作ることが可能になる」と述べている。

脆弱性の修正コストは工程が進むほど指数関数的に増加する	有償サービス例。ユーザー企業内にテクマトリックスによるソースコードチェックサービス部門を設置

テストを実行	OWASP TOP 10に基づくルール一覧	テスト後の画面。フロー解析により、Login.javaからUserInfo.javaまでパッケージをまたがって解析されているのが分かる。検出された問題をクリックすると、該当するコードがハイライトされる