手軽にセキュリティ脆弱性診断の第一歩を

東陽テクニカは、ソースコードの脆弱性解析に強みを持つイスラエルのCheckmarxの、脆弱性静的解析プラットフォーム「Checkmarx CxSAST」をクラウドサーバ上で手軽に利用できるオンデマンドサービス「Cx クラウド」を2018年1月5日に提供開始する。

2016年7月に販売開始したCheckmarx CxSASTを利用した脆弱性診断を、今回新たにクラウドサービスとして提供する。

Checkmarx CxSASTは、ソースコードに潜む脆弱性を検出し可視化することで、安心・安全なソフトウェアの開発を支援する脆弱性診断プラットフォーム。ソフトウェア開発の効率化やセキュリティリスクの低減に必要なコストと労力の削減に寄与する。

解析対象のプログラミング言語は20言語でコンパイル前/ビルド前の状態で解析できるため、開発者は作成したソースコードの安全性を開発初期段階から把握でき、脆弱性の修正による手戻りコストの大幅な削減が可能。

東陽テクニカによると、解析項目を細かくカスタマイズして、解析結果の偽陽性・偽陰性を最小限に抑えられる点もメリットの1つだという。さらに、脆弱性の特定だけでなく、最適な修正ポイントの候補が明示されるため、セキュリティに関する高度な専門知識がなくとも、どこから修正を行うべきか容易に判断できる。

ソースコードの脆弱性診断手法の現在の主流は、ソースコードをコンパイル後/ビルド後のアプリケーションの脆弱性解析を外部に依頼し、その結果をレポートとして受けるものだ。しかし、この方法はアプリケーションの内部を網羅的に解析するわけではないため、検出できる脆弱性が限られてしまう。また、開発途中ではなく完成間近のアプリケーションの脆弱性解析を依頼することになるため、脆弱性をタイムリーかつ最適な方法で修正することができず、コストの増大や製品リリースの遅れにつながる恐れがある。

東陽テクニカは、現在主流の脆弱性診断手法を補完する手段として、作成したソースコードの安全性を開発初期段階から把握し、さらに修正による手戻りコストを削減するために、コンパイル前/ビルド前のソースコード自体の解析を行うことが重要と考えていた。

そこで今回新たに、主に外部委託だけに頼らない脆弱性診断に興味を持つ開発者、Force.com プラットフォーム用ソースコードを大量に解析する必要がある人などに提供する。プロジェクト単位で必要な解析回数に応じて課金する方式で、2種類のサービス体系を用意。1プロジェクトを対象に1回の解析ができるCxクラウド1スキャンサービスが20万円、1プロジェクトを対象に1カ月間であれば何回でも解析が可能なCxクラウド1カ月間パックが50万円となっている。