日立システム、Webアプリのソースコード検証サービスを強化しJavaも対象に

日立システムアンドサービスは、Webアプリケーションのソースコードに含まれる脆弱性検証サービスの対象にJavaを追加した。

[ITmedia]

　日立システムアンドサービスは10月17日、Webアプリケーションのソースコードを検証し、クロスサイトスクリプティング（XSS）やSQLインジェクションといった脆弱性が含まれていないかをチェックするサービスの対象を拡大した。

　同社はこれまで、ソフトウェア品質管理ツール「InspectPro」シリーズのラインアップの1つとして、セキュリティ検証サービスを提供してきた。検証ソフトを用いてソースコードを解析し、不良の可能性が高い部分を検出する一次解析と、その中から専門アナリストが過剰指摘を排除する二次解析を組み合わせ、重要な障害や不正アクセスにつながる不良原因を報告するサービスだ。修正が必要な問題個所のみを詳細に報告するため、短時間でソースコードの脆弱性対策を行える点が特徴という。

　これまでセキュリティ検証サービスでは、C／C++言語のソースコードのみを対象としてきたが、新たにJava言語で記述されたプログラムを対象とするサービスを追加した。JavaベースのWebアプリケーションに対し、XSSやSQLインジェクションのほか、HTTPレスポンス分割、ディレクトリトラバーサルといった問題がないかどうかをチェックする。

　さらに、新たに重要な脆弱性が報告されたり、顧客からの個別の要望があった場合には、摘出対象とする脆弱性を追加するという。

　同社では今後2年間で、Java言語対応のセキュリティ検証サービスで約5億円の売り上げを目指す。