Webアプリの脆弱性を管理――HPが開発から運用までをカバーする新製品

日本HPは、Webアプリケーションの開発から運用フェーズまでをカバーし、脆弱性の検出と対処を可能にする製品群を発売する。

» 2008年09月09日 16時27分 公開
[國谷武史,ITmedia]

 日本HPは9月8日、Webアプリケーションの品質管理をセキュリティの観点から行うための製品群「HP Applications Security Center」を10月1日に発売すると発表した。開発から運用フェーズまでをカバーし、脆弱性の検出と対処、管理などができるようになる。

HP Applications Security Centerの製品構成

 HP Applications Security Centerは、2007年買収したWebセキュリティ評価サービスのSPI Dynamicsのソリューションを製品化したもの。開発、品質テスト、運用の各フェーズで脆弱性の検出と対処などを行う「DevInspect Software」「QAInspect Software」「WebInspect Software」の3製品と、プロジェクトごとのセキュリティ対策状況を集中管理するための「Assessment Management Platform Software」(AMP)で構成される。アプリケーションのセキュリティ対策をライフサイクルに沿って管理でき、最新の脆弱性にも自動的に対処するという。

 DevInspect Softwareは、ソースコード解析とブラックボックス手法を組み合わせて、アプリケーション開発時の脆弱性検査と対策をプログラマーなどが実施するためのもの。QAInspect Softwareは、ブラックボックス手法を用いて品質テスト段階での脆弱性検査を行えるようにする。HPのソフトウェア品質管理製品「HP Quality Center」とも連携する。WebInspect Softwareでは、運用中のWebアプリケーションのセキュリティ検査をシステム管理者やセキュリティ技術者、監査担当者が行うためのもので、個人情報保護法やPCI DSS(Payment Card Industry Data Security Standard)など20種類以上の法規制やセキュリティ基準に対応したリポート機能も搭載している。

AMPでのリポート作成イメージ

 AMPでは、数十人規模の開発部門を抱えるような大企業での利用を想定したもの。個々のアプリケーション開発プロジェクトのセキュリティ対策状況を一元管理するとともに、同社が24時間体制で運用する脆弱性分析チーム「HP Web Security Research Group」の最新情報を各プロジェクト担当者やDevInspectなど3製品への反映、セキュリティ検査のスケジュール管理などができるようになっている。

脅威への備えは開発フェーズから

レンデ氏

 新製品投入の背景について、米HPソフトウェア部門副社長兼ゼネラルマネジャーのジョナサン・レンデ氏は、企業でのWebアプリケーションの普及やコンシューマーへのWebサービスの利用拡大から、Webの脆弱性が企業経営に重大な影響を与えると指摘。近年は、SQLインジェクション攻撃によるWebサイト改ざんを代表例にWebの脆弱性を突く脅威が急増しており、アプリケーションの開発段階から可能な限り脆弱性を取り除く仕組みが求められているという。

 「直近でも大手金融機関のWebサービスがハッキングされ、数百万人分の個人情報が流出した。盗まれた個人情報で残高が引き出されれば数十億ドルの直接被害が発生し、企業のブランドや信用にも甚大な影響を及ぼすことにもなり、セキュリティを考慮したサービス設計が必要になる」(同氏)

 製品価格は最小構成の場合で、DevInspect Softwareが43万1000円、QAInspect Softwareが809万5500円(5ユーザーライセンス)、WebInspect Softwareが305万1300円、AMPが1716万2460円からとなる。DevInspect SoftwareおよびQAInspect、WebInspect Softwareは単体製品としても利用できる。

 日本HPでは、Webアプリケーションを自社開発している企業のほか、セキュリティ診断サービスベンダーやソフトウェアベンダーなどにも同製品群を訴求するという。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ