みずほ情報総研、ソースコードを元にアプリの脆弱性を検出するサービスを提供

　近年、標的型攻撃をはじめとする情報セキュリティリスクの高まりを受け、企業ではより安全かつ信頼性の高いシステム構築が求められている。そのため、アプリケーションの開発においては、脆弱性診断の主流である動的解析（対象システムに対し、実際に擬似的な攻撃を行うことによりセキュリティの脆弱性を検証する手法）に加え、プログラムのソースコードを分析して脆弱性の根本原因を特定する、静的解析への注目が高まっている。

　こうした背景のもと、みずほ情報総研は、ソフトウェアのアプリケーション開発段階において、ソースコードを元にアプリケーションのセキュリティ脆弱性を診断する「ソースコード脆弱性診断サービス」の提供を6月18日より開始する。

　なお、同サービスには、日本ヒューレット・パッカードの提供する、ソースコード解析ツール「HP Fortify SCA」を活用している。同サービスは、アプリケーションへの脆弱性の混入を開発初期段階で防ぐことで、後工程での手戻り修正コストの発生を回避するほか、脆弱性の根本原因を特定することで、より安全性の高いアプリケーション開発を支援する。

　なお、同サービスでは、セキュリティと品質の観点から脆弱性を検査して診断レポートを提示する「オンサイト診断」のほかに、検出された脆弱性について対応の優先順位付けやセキュア開発体制の構築を支援するコンサルティングサービスも用意している。

　また、「オンサイト診断」の場合、1診断あたりの価格は95万円（税別）からと、ツールを導入する場合に比べ安価に利用でき、費用負担を大きく削減することが可能。また、解析結果の提供までにかかる時間は約1週間と、価格とスピードの両面で優位性を発揮するという。対応言語はJava、ASP.NET、PHPを含む21言語で、iPhoneやアンドロイド向けアプリケーションの解析も可能。