ソースコード脆弱性分析ソフトウェア「FORTIFY SCA」の販売開始
〜フォーティファイソフトウェア株式会社と代理店契約を締結〜
三菱総研DCS株式会社(本社:東京都品川区、代表取締役社長:後藤 明夫、以下DCS)は、このほどFortify Software, Inc(本社:米国)の100%日本法人であるフォーティファイソフトウェア株式会社(本社:東京都港区、代表取締役社長:遠藤 玄声、以下フォーティファイ)と日本国内におけるFortifyソフトウェア製品の販売に関わる代理店契約を締結し、9月18日より販売を開始いたします。
不正アクセスによる犯罪手口が日々高度化し、サイバー犯罪が巧妙になってきている現在、Webサイトが被害を受ける事件が後を絶ちません。Webサイトに問題がある危険を察知し、事件が起こる前に対策を施せたケースもありますが、実際に不正アクセス事故が発生していても、外部に公表せずに処理しているケースや、攻撃を受け事故が起きている事実に気が付いていないケースも散見されています。
このように依然として多くのWebサイトにおいてセキュリティ上の問題が放置されたまま運営されている一方で、セキュリティ対策に先進的な企業では、セキュリティ診断を実施することはもちろんのこと、開発プロセスを見直し、ソースコードの開発段階から脆弱性を元から絶つ対策が取られ始めています。開発途中でソースコード自体を検査することで、コードのセキュリティ問題を早期に発見できるようになります。早期に発見でき対策できれば、修正コストを低減させることが可能となります。
セキュアコーディングを実施するためには、スキルレベルの高い開発技術者をそろえる必要が出てきます。しかし、これは容易な課題ではありません。FORTIFY SCA(ソースコードアナリシス)を利用することで、リソース不足を補えるばかりではなく、極めて高い精度で機械的に、短時間に問題を発見し、対策を打つことが可能となります。
FORTIFY SCAは、開発プロジェクトだけでなく、品質管理業務やユーザーの受入検査業務、またさらにソースコード検証を行っている第三者検証サービスでも活用されています。
DCSおよび当グループ企業においては、既に開発段階でFORTIFY SCAの活用を開始し、セキュアコーディングの実現と安全なアプリケーションの開発に取り組んでおります。
DCSは、自社で培った経験を元に、お客様にセキュアコーディングの提案とFORTIFY SCAを提供して参ります。
FORTIFY SCAのエンドユーザ向けライセンス標準価格は、10CPUライセンス(10台のPCで利用)で994万円からとなっています。その他、検査サービス業者用の「サービスプロバイダライセンス」も用意されています。
■製品の特徴
・セキュリティ問題を発見
ソースコードアナリシスはアプリケーションソースコードをスキャンし、そこに潜むセキュリティ上の問題を160種類以上のセキュアコーディングルールを利用して発見します。また、セキュリティ上の問題だけでなく、システムの信頼性に影響を与える問題も指摘します。
・幅広い言語に対応
ソースコードアナリシスは C/C++, JAVA, JSP, C#, VB.NET, ASP.NET,ColdFusion, PL/SQL, TSQLなど対応言語が広く、また、JSP, JAVA, SQL等の複数言語を利用しているシステムも一括してスキャンを行うことができます。対応言語も年々増加しています。
・問題の概要と推奨対策を解説
ソースコードアナリシスは問題の発見だけでなく、何故それが問題なのか、どう対応すべきなのか、詳細な情報を提供します。開発者はこれら情報を通してスキルアップを図ることができます。また、監査者は、これらの情報を使い、
詳細な監査レポートを作成することができます。
・大規模コードへの対応
何百万行もあるソースコードをデータの流れ、プログラム構造、フロー制御など様々な角度から分析し、短時間にチェックを行うことができます。人手では不可能なコード全体の詳細なコードレビューが可能になり、高い品質のアプリケーションを開発することができます。
・専門的な知識を提供
ルールには専門的な研究や開発の実践によって培われたセキュアプログラミングの手法やサードパーティーライブラリ等に関する様々なセキュリティプログラミングのノウハウがセキュアコーディングルールとして組み込まれ、160種類以上のセキュアカテゴリー、50,000種類以上の問題パターンを蓄積しています。
・最新のセキュリティノウハウ
変化するコンピュータセキュリティに対し、最新のセキュアコーディングルールを適用することで、ソフトウェアのセキュリティ脆弱性を常に最小化することができます。フォーティファイソフトウェアの調査チーム、テクニカルパートナーが常にセキュリティの最新動向を研究・分析しており、その成果はルールに反映され、ネットワークを通じて最新のセキュアコーディングルールをダウンロード、利用することができます。
■セミナーご案内
来たる9月28日に、「情報セキュリティセミナー第2回〜Webサイトのセキュリティ診断の実態と対策の新たなアプローチ(ソースコード検査)〜」を当社にて開催します。
セミナー案内URL: http://www.dcs.co.jp/event/index2.html
■三菱総研DCS株式会社について
三菱総研DCSは、ITコンサルテーションからシステムの設計・開発、そして運用・処理に至るITトータルソリューションを提供しています。株式会社三菱総合研究所、株式会社三菱UFJフィナンシャル・グループとの戦略的業務提携をスタートし、さらに
三菱UFJリサーチ&コンサルティング株式会社を加えた4社と連携して、ベストソリューションを提供させていただいております。DCSは、銀行のコンピュータ受託計算部門から分離独立した歴史を持ち、銀行、信販、クレジットカード業務での豊富な経験・実績を誇り、また、企業のいわゆるお金の流れに関わる業務(F&A)に強みを持っています。
http://www.dcs.co.jp/
■フォーティファイ・ソフトウェア株式会社について
フォーティファイ・ソフトウェア株式会社は2003年に設立された米国フォーティファイソフトウェア社(Fortify Software, Inc.)100%出資の日本法人です。
米国フォーティファイソフトウェア社は米国カリフォルニア州パロアルトに本社を置き、ソースコード脆弱性分析エンジンを提供するリーディング・カンパニーです。
既に米国大手金融機関、eビジネス企業などに多数導入されており、その投資効果や機能性が高く評価されています。また、シリコンバレーで代表的なベンチャーキャピタルKleiner Perkins Caufield & Byersや米国セキュリティ大手のCigital, Inc.が資本参加しています。
日本: http://www.fortifysoftware.co.jp/
米国: http://www.fortifysoftware.com/