(2/2)サイバー攻撃のターゲットはアプリケーションへ～どう守ればよいのか？ VERACODE社Brian LaFlamme氏に訊く

ようこそゲストさん

ビジネス+ITを始める

ITと経営の融合でビジネスの課題を解決する

ビジネス＋ITとは？

ログイン

無料登録

閉じる

スペシャル
2014/10/15 掲載

サイバー攻撃のターゲットはアプリケーションへ～どう守ればよいのか？(2/2)

VERACODE社Brian LaFlamme氏に訊く

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

セキュリティ総論

|

タグをもっとみる

「クラウド型バイナリ静的解析サービス」とは

　では、このバイナリ解析とは一体どういう手法なのだろうか？　これはソースコード（Java、.Net、PJP、C/C++、Android、iOSなどのプログラム）を機械語にコンパイルした後で、セキュリティの脆弱性を調査するものだ。解析される情報は、1と0の数字の羅列となり、知的所有権を持つソースコードを直接さらすことなく、第三者のセキュリティサービス事業者に解析を依頼できるという最大の特徴がある。

業界初となるVERACODEのクラウド型バイナリ静的解析サービスの特徴。「クラウド」「バイナリコードによる解析」「改修支援サポート」がポイントだ

　この技術はVERACODEが特許を取得しているものだが、同社は現在、バイナリレベルでの静的セキュリティ検査ができる唯一の企業となっている。Brian氏は「我々は2006年に設立されたベンチャーですが、すでにガートナーの評価において、アプリケーション・セキュリティ分野でリーダーポジションを獲得しています」と自信を見せる。

第三者機関（ガートナー）による、アプリケーション・セキュリティ分野のポジションマップで、VERACODEはリーダー的な存在感を発揮している

　同社のセキュリティ診断サービスが評価されているのは、知的所有権をクリアできるという理由からだけではない。「たとえばバイナリ解析では、サードパーティのライブラリやプラットフォーム固有のコードが原因となる脆弱性のほか、従来のテストでは見えない悪意あるコードやバックドアも発見できます。また開発プロセスで、ほとんど変更を加えずに脆弱性の全体像を把握できるというメリットもあります。開発プロセスのPDCAサイクルを止めることがありません」（Brian氏）。

　VERACODEの静的解析サービスは、クラウド型であることもポイントだ。オンプレミスのように煩わしい準備をすることなく、すぐにセキュリティ検査が可能になる。プラグインが用意され、ユーザーはVisual StudioやEclipseなどの標準IDE（プログラム統合開発環境）から、ネットワークを通じてバイナリコードをアップロードできる。

クラウド型バイナリ静的解析サービスの利用フロー。標準IDE経由で、ネットワークを通じてバイナリコードをアップロードし、テストを行う。その結果をIDEやブラウザから目視で確認できるほか、コード修正のサポートも受けられる

「検査結果は、アプリケーションに設定された重要度に応じて、目標レベルに達したか否か判定されます。またソースコード上で、該当の問題箇所を確認することも可能です」（Brian氏）。

クラウド型バイナリ静的解析サービスの利用画面その1。プラグインでEclipseに組み込み、標準IDEでサービスを利用できる。ここからテスト結果も確認することが可能

クラウド型バイナリ静的解析サービスの利用画面その2。セキュリティ結果の分析。5段階のセキュリティレベルや、脅威の種類（クロスサイトスクリプティング、CRLFインジェクションなど）がわかる

　クラウド型での提供は、VERACODE側にもメリットをもたらす。クラウドサービスによって発見された脆弱性は、常に同社のプラットフォームにフィードバックされ、その蓄積がセキュリティ対策のノウハウとなり、検出精度の向上（すなわち誤検知率の低さ）につながっていくからだ。Brian氏は「現在、他社の診断サービスでは誤検知率が50％以上もあります。しかし我々のサービスでは、誤検知率が5％から10％程度までと大幅に抑えられています」と強調する。

実際にどうやってプログラムを改修していけばよいのか

テクマトリックス
セキュリティ営業部特命課長
福山貴徳氏

　もう1つ、VERACODEのセキュリティ診断サービスが評価されるポイントがある。「我々の診断サービスが受け入れられているのは、技術的なポイントだけでなく、セキュリティ診断後の対処法にも理由があるからです」（Brian氏）。実際に診断サービスによって、新たな脆弱性が発見されたとしても、それがユーザー固有の問題として、どのような影響があり、実際にどうやってプログラムを改修していけばよいのか、よく分からないという声も多い。そこで同社では、ユーザー向けの改善支援サポートを実施しており、それが大いにユーザーに評価されているのだ。

　この改善支援サポートについては、国内で診断サービスを展開するにあたり、言語の問題が壁になる。そのため日本の販売代理店であるテクマトリックスから、手厚いサポートを実施していく予定だ。同社でVERACODEのセキュリティ静的診断の結果を事前に確認し、ユーザー側から改修支援コールがあったら、コードレビューと改修支援を行っていく。「具体的にはWeb会議システムを利用し、場所を気にせず、いつでもタイムリーなサポートが受けられる体制を整えていきます。このサポートは事前予約制になっており、チケット制でのサポート対応になります」（テクマトリックス福山貴徳氏）。

改修支援サポートの流れ。ユーザー側でVERACODEの診断結果を確認後、支援サポートの予約を行うと、テクマトリックス側で、ユーザーのコードを共有し、Web会議システムで改修サポートを実施してくれる

　このように、VERACODEが提供するクラウド型バイナリ静的解析サービスは、単独のアプリケーション・セキュリティ対策としては最も効果がある手法といえるだろう。特に肝になるのは、サービス導入後のユーザー向けの改善支援サポートだといえる。

　また将来的には、単独サービスのみならず、複数のツールを組み合わせたソリューションも重要になってくるだろう。Webアプリケーションの動的解析、手動／自動ペネトレーションテストなど、従来型アプローチをいくつか組み合わせれば、よりいっそう相乗効果が見込めるようになるからだ。そういう意味でVERACODEやテクマトリックスは、総合的なセキュリティ対策ソリューションを有しており、高度化・巧妙化する攻撃に対して万全なセキュリティ対策を提供できるため、今後も大いにユーザーに期待されることになるだろう。