Webアプリはビジネスの血液、開発スタイルに変化もHPが脆弱性診断ツールをリリース

» 2008年09月09日 00時00分 公開
[垣内郁栄,@IT]

 日本ヒューレット・パッカード(HP)は9月9日、アプリケーション開発におけるセキュリティ向上を支援するソリューション「HP Application Security Center」を発表した。特にWebアプリケーションの脆弱性対策を重視した製品で、10月1日に出荷開始する。

 米HPのHPソフトウェア アプリケーションディビジョン バイスプレジデント兼ゼネラルマネージャのジョナサン・レンデ(Jonathan Rende)氏は、「Webアプリケーションがビジネスに与える影響は大きく、ビジネスの血液、ビジネスそのものになっている」と話す。同時にこれまで企業内で個別に使われてきたアプリケーションが連携して使われるケースが多くなり、セキュリティを無視した開発はできなくなったことも背景にある。

 HP Application Security Centerは4製品で構成し、コーディング、テスト、運用段階のそれぞれで脆弱性を確認する。コーディング段階では同ソリューションの「HP DevInspect」を使う。DevInspectは開発段階でプログラマが利用するツール。Visual StudioやEclipseなどのプラグインとして機能する。開発中のコードを分析して危険なコードを抽出、修正する機能と、開発したアプリケーションの全体をチェックして脆弱性を確認する機能を組み合わせて利用できる。HPが用意する脆弱性情報のデータベースと通信し、常に最新の脆弱性に対応できるという。

脆弱性診断ツール「HP DevInspect」

 テスト段階では「HP QAInspect」を使う。同ツールはテストエンジニア向けの脆弱性診断ツールで、別製品の「HP Quality Center」と統合されている。アプリケーション全体の品質とセキュリティ管理のプロセスを一元化できるため、HPは品質管理の作業を効率化できるとしている。

 「HP WebInspect」はアプリケーションの運用段階で、システム管理者やセキュリティエンジニア、監査人などが利用するツール。アプリケーションの脆弱性診断を行う機能に加えて、PCI DSSや米国SOX法、日本の個人情報保護法などに対応したレポートを作成するためのテンプレートが付属する。

 これら3つのツールは開発ライフサイクルを管理する「HP Assessment Management Platform」で統合管理できる。複数の開発プロジェクトをモニタリングし、開発者の権限やポリシー設定などができるツールだ。

複数の脆弱性診断ツールを管理する「HP Assessment Management Platform」

 価格は最小構成でAssessment Management Platformが約1700万円、DevInspectが約43万円、QAInspectが約800万円、WebInspectが約300万円。HPは日本の脆弱性診断ツール市場が年間20〜40%の成長率で伸びているとして、「その3倍以上の成長がビジネス目標。1年以内にトップベンダの1社になる」と説明した。

ストリーム化する開発ライフサイクル

 HPがアプリケーションの開発ライフサイクル管理製品に力を入れる背景には、アプリケーション開発スタイルの変化がある。これまでの開発は計画、要件定義、開発、配布、運用という分かりやすいライフサイクルに沿って行われた。しかし、Webアプリケーションが一般的に使われる現在では、その運用フェイズが「実際の開発の5倍以上の期間に伸びている」(HP アジア・パシフィック&ジャパンのマイケル・シアー氏)。Webアプリケーションでは開発後も継続的な機能向上やバグフィックスが求められるからだ。

米HPのジョナサン・レンデ氏(左)とマイケル・シアー氏

 従来のようなフェイズごとの開発ライフサイクルを採っているままだと、計画や要件定義、開発などの各フェイズが断絶し、開発スピードの向上も期待できない。アプリケーション開発者はいま、「(異なるフェイズを担当する)隣のチームと話をせざるを得ない状況になっている」(レンデ氏)。

 HPは新しい開発ライフサイクルを「ストリーム」と表現し、その品質を管理するにはストリーム上の複数の「ゲート」を通過させることが重要と指摘している。通過すべきゲートにはポリシー設定、需要、ポートフォリオ、要件定義、検証、エンドユーザー管理などがある。レンデ氏はその中で、要件定義が特に重要と指摘し、「より短い時間で開発を進めるには機能的要件のほかに、セキュリティやパフォーマンスなどの非機能的な要件を明確にする必要がある」と話した。

Copyright © ITmedia, Inc. All Rights Reserved.