- 【A-2】セキュアーなWebアプリケーションを開発する AppScan Developer Editionが開く可能性 (ガイ・ポジャルニー)
- 【A-4】Rational Quality Manager Coming Soon! 品質管理への新たなアプローチ (小野塚 荘一)
- 【B-1】Rationalツールによるソフトウェアプロダクトラインの実現:その1 開発編 (鈴木 尚志)
- 【B-3】事例に学ぶビルド→リリースでの課題と解決 (田中 陽子)
- 【D-2】プロセスからプラクティスへ−次世代のプロセスアプローチ (池田 庄吾)
- 【E-4】組織で取り組むアジャイル~改善の鍵は現場にあり (野島 勇 氏)
- 【F-1】基幹業務アプリケーションを進化させる! Enterprise Modernization for System i (内藤 拓也)
- 【F-3】SOAアーキテクトの真実 (藤田 一郎)
【A-2】
「セキュアーなWebアプリケーションを開発する AppScan Developer Editionが開く可能性
」
IBM Corporation Rationalソフトウェア
AppScanプロダクト・マネージャー ガイ・ポジャルニー
本セッションでは、Webアプリケーション・セキュリティーの業界動向、セキュリティーの動的解析と静的解析、次世代の静的解析技術としてIBM研究所の文字列解析技術について説明した後、開発者のためのWebアプリケーション・セキュリティー・ソリューションIBM Rational AppScan Developer EditionとBuild Editionの紹介を行った。
昨今のセキュリティー犯罪は高度化・組織化の傾向があり、ネットワーク・レベルでは様々な防御がなされている。しかし、アプリケーション・レイヤーの防御はまだ不十分であり、攻撃者が容易に侵入できる状況にある。アプリケーション・セキュリティーを包括的に行うには、コード設計の最初からセキュリティーを組み込むべきであり、戦略的に業務として確立する必要がある。
Webアプリケーション・セキュリティー問題をテストする方法として、攻撃者の操作を自動化する「動的解析(ブラックボックス)」とコードの監査を自動化する「静的解析(ホワイトボックス)」がある。ポジャルニー氏は、SQLインジェクションの検出を例に、ブラックボックス・スキャナーとホワイトボックス・スキャナーの動作をわかりやすく説明し、それぞれに長所と短所があることを示した。
IBMは、次世代の静的解析技術として、自動的かつ静的にその時点での文法を検出する文字列解析技術を開発した。従来はサニタイザー(無菌化)の設定に多くの時間を費やしたが、文字列解析によってサニタイザーの定義が不要になり、問題をピンポイントで発見できるようになる。
IBMは、開発者のためのWebアプリケーション・セキュリティー・ソリューションとしてIBM Rational AppScan Developer & Build Editionを提供している。AppScan Developer Editionは、開発者のためのIDE(統合開発環境)に統合されたデスクトップ・ソリューションで、開発者によるセキュリティテストの実施を支援する。AppScan Build Editionは、ビルド時の自動化ソリューションで、すべてのコードのスキャンを行う。当ソリューションは、セキュリティー専門家が不要であり、ごく自然に開発環境とプロセスに適合する包括的なセキュリティー環境を実現できる。
セッションの最後には、スクリーンショットによるデモを披露し、ウィザードによるスキャンの作成、動的解析や静的解析の結果表示、動的解析と静的解析結果の相関レポート、Rational ClearQuestへのエクスポートなどを紹介した。
IBM、IBMロゴ、developerWorks, PartnerWorld, Rationalは、世界の多くの国で登録されたInternational Business Machines Corp.の商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtml(US)をご覧ください。
