ニュース
Checkmarx CxSASTのオンデマンドサービス「Cxクラウド」の提供開始【東陽テクニカ】
2017年12月27日
ソースコードに潜む脆弱性を“手軽に”解析
Checkmarx CxSASTのオンデマンドサービス
「Cxクラウド」の提供開始
〜最小限の投資で脆弱性診断の第一歩を〜
㈱東陽テクニカ(本社:東京都中央区、代表取締役社長:五味 勝)は、サイバーセキュリティ大国イスラエルに本社を構えソースコードの脆弱性解析に強みを持つCheckmarx LTD.(本社:イスラエル国テルアビブ、以下 Checkmarx社)の、脆弱性静的解析プラットフォーム「Checkmarx CxSAST」をクラウドサーバー上で手軽に利用できるオンデマンドサービス「Cxクラウド」の提供を2018年1月5日より開始いたします。
誰でも容易に手軽に脆弱性診断が実施でき、セキュリティ問題の検出・対策の第一歩を踏み出すことができるよう、今回新たに、2016年7月より販売の「Checkmarx CxSAST」を利用した脆弱性診断を、クラウドサービスという形で提供いたします。定期的に「Checkmarx CxSAST」によるセキュリティ監査が要求される“Force.comプラットフォーム※1”用ソースコードの開発者も、ソースコードのボリュームや解析回数を気にすることなく、いつでも手軽に利用できるようになります。安全なソフトウェアの開発を効率的に行えるだけでなく、セキュリティリスクの低減に必要なコストや労力の削減に寄与します。
【「Cxクラウド」提供の背景】
ソースコードの脆弱性診断手法の現在の主流は、ソースコードをコンパイル後/ビルド後のアプリケーションの脆弱性解析を外部に依頼し、その結果をレポートとして受けるものです。しかし、この方法はアプリケーションの内部を網羅的に解析するわけではないため、検出できる脆弱性が限られてしまいます。また、開発途中ではなく完成間近のアプリケーションの脆弱性解析を依頼することになるため、脆弱性をタイムリーかつ最適な方法で修正するこ とができず、コストの増大や製品リリースの遅れにつながるおそれがあります。
東陽テクニカは、現在主流の脆弱性診断手法を補完する手段として、作成したソースコードの安全性を開発初期段階から把握し、さらに修正による手戻りコストを削減するために、コンパイル前/ビルド前のソースコード自体の解析を行うことが重要と考えています。そこで今回新たに、脆弱性静的解析プラットフォーム「Checkmarx CxSAST」を利用した脆弱性診断のクラウドサービス「Cxクラウド」を、主に、外部委託だけに頼らない脆弱性診断に興味を持つ開発者、Force.comプラットフォーム用ソースコードを大量に解析する必要がある方、さらには脆弱性診断の第一歩を踏み出すうえで悩んでいる方に向け、提供します。
【「Checkmarx CxSAST」とは】
「Checkmarx CxSAST」は、ソースコードに潜む脆弱性を検出し可視化することで、安心・安全なソフトウェアの開発を支援する脆弱性診断プラットフォームで、ソフトウェア開発の効率化やセキュリティリスクの低減に必要なコストと労力の削減に寄与します。
解析対象のプログラミング言語は20言語と幅広いため、業界を問わず利用できます。また、コンパイル前/ビルド前の状態で解析ができるため、開発者は作成したソースコードの安全性を開発初期段階から把握でき、脆弱性の修正による手戻りコストの大幅な削減が可能です。加えて、解析項目を細かくカスタマイズして、解析結果の偽陽性・偽陰性を最小限に抑えることができる点も大きなメリットです。さらに、脆弱性の特定だけでなく、最適な修正ポイントの候補が明示されるため、セキュリティに関する高度な専門知識がなくとも、どこから修正を行うべきか容易に判断することができます。
《対応20言語》
Java, JavaScript, VB.NET, C#, VB6, PHP, C/C++, Objective C, Swift, Ruby, VBScript, Perl, HTML5, Python,
Groovy, Apex (Visual Force), ASP, Scala, PL/SQL, Go
【「Checkmarx CxSAST」の主な特長】
■ Apex言語やGo言語を含む20のプログラミング言語とスクリプト言語に対応
■ SpringやNode.js+Expressを含む、一般的に普及しているフレームワークに対応
■ コンパイル前/ビルド前のソースコード自体の解析が可能
■ 最適な修正ポイントの候補を提案
■ PCI-DSS※2やCWE※3などのセキュリティに関するガイドラインにも対応
【「Cxクラウド」のサービス形態および価格】
「Cxクラウド」は、コンパイル前/ビルド前のソースコード解析を東陽テクニカのクラウドサーバー上にある「Checkmarx CxSAST」を使って、手軽に低コストで実施できるようにしたサービスです。プロジェクト単位で必要な解析回数に応じて課金する方式で、2種類のサービス体系を用意。
1)サービス名:Cxクラウド 1スキャンサービス
利用料金:20万円
解析対象:1アカウントで1プロジェクトを対象に1回の解析
サービス開始日:2018年1月5日
2)サービス名:Cxクラウド 1カ月間パック
利用料金:50万円
解析対象:1アカウントで1プロジェクトを対象に、1カ月間であれば何回でも解析が可能
サービス開始日:2018年1月5日
※1 Salesforce.com社が提供しているビジネスアプリケーション向けのクラウド上のプラットフォーム。
「Checkmarx CxSAST」は、Force.comプラットフォーム用のソースコードを書く際に利用されるプログラミ
ング言語Apex(Visual Force)の解析が可能な唯一のプラットフォーム。
※2 Payment Cash Industry Data Security Standardの略。クレジットカード業界における国際的なセキュリティ
規格。
※3 Common Weakness Enumerationの略。ソフトウェアにおけるセキュリティ上の脆弱性の種類を識別するため
の共通脆弱性識別子。
<Checkmarx LTD.について>
Checkmarx社は、セキュリティに特化したソースコードの解析ツールプロバイダーとして2006年にイスラエルで設立されました。ソリューションとして、ソースコードの脆弱性の解析・検出を自動化するプラットフォームを提供し、高い技術・開発力により脆弱性の検出に関する数多くの特許を取得しています。顧客には世界トップ10にランクインする大手ソフトウェアベンダーやフォーチュン500企業の他、あらゆる産業のSMB企業が含まれています。
Checkmarx社Webサイト:https://www.checkmarx.com/
★ 本件に関するお問い合わせ先 ★
㈱東陽テクニカ ソフトウェア・ソリューション
TEL:03-3245-0771(直通) E-mail:ss_sales@toyo.co.jp
「Checkmarx CxSAST/Cxクラウド」紹介ページ:http://www.toyo.co.jp/ss/products/detail/checkmarx
※本ニュースリリースに記載されている内容は、発表日現在の情報です。製品情報、サービス内容、お問い合わせ先な
ど、予告なく変更する可能性がありますので、あらかじめご了承ください。
※記載されている会社名および製品名などは、各社の商標または登録商標です。
株式会社東陽テクニカホームページはこちら
