アプリケーション・セキュリティ
脆弱性管理の統合プラットフォーム
セキュリティリスク低減を高速化DevOps, Agile の速さでリスク低減を実現
INFORMATION
DEMO VIDEO
SRMのデモ動画は下記よりご覧になれます
自動化がお客様のセキュリティプログラムにもたらす効果をご紹介します。
- ・複数ツールを統合制御
- ・結果の関連付け
- ・脆弱性の優先度付け
- ・対策の追跡
- ・リスク可視化の集約
SRM 概要
以下の主要機能:リスク可視化とリスク低減をスピーディーに実現します
75種以上の脆弱性解析ツールをサポート、指摘結果を関連付け一元管理します
SRMはアプリケーションのセキュリティの相関・管理システムです。複数のAppSecツールによる指摘事項(ときには手法の異なる)を一つの集約された結果セットにまとめる作業を自動化します。従来、この作業は時間とコストを大量に要する労働集約的な作業であり、脆弱性の発見(テスト)及び対策サイクルのネックでした。SRM により大幅な省力化と時間短縮が可能になります。
例えば、静的解析と動的解析、商用ツールとオープンソースのツールのように、目的や実装が異なるツールの結果を関連付けし、一つの統合された結果セットに集約します。また、お客様が使用しているソフトウエア開発ツールや課題管理ツールとの統合も可能です。
(75種以上の脆弱性解析ツールをサポートしています)
お客様は、同程度のセキュリティレベル確保をより少ないリソースで実現するか、あるいは、より高度のセキュリティレベル確保を現状のリソースで実現できるようになります。
脆弱性リスクの優先順位付け
一元管理下の脆弱性リスクに対し、多様なフィルタリング機能により重要度の高いリスクの特定(トリアージ)を迅速に行い、対策対象とすべきリスクの絞り込みが可能。ここでも大幅な工数や作業時間の短縮が可能です。
フィルタリング機能は、単に重要度だけでなく、検出したツール種別、標準に基づく脆弱性の分類、脆弱性のあるソースの位置・範囲、同じ脆弱性を何種類のツールが同時に検出したか、等、セキュリティ担当者の判断を支援するための機能です。
また、優先順位付けの結果は、ダッシュボードでも参照可能で、プロジェクト関係者が容易にリスクの状況を俯瞰することができます。脆弱性のみならず、開発ルール遵守に関する重要問題の早期発見にも寄与します。
リスク対策の追跡
一元化されたリスク要因の対策に当たり、JIRA等の課題管理システムと双方向に連携させることにより、開発者とセキュリティ担当者間で齟齬のないスムーズなリスク対策の追跡を可能とします。
SRMによりリスク低減の高速化を実現し、
DevOpsやAgile開発のサイクルにリスク低減プロセスを導入可能
DevSecOpsのスピードにキャッチアップ
特長
SRMを利用することにより、脆弱性リスクの整理統合、優先順位付け、対策追跡のサイクル全般を通じて作業時間を劇的に削減し、予算内でスケジュール通りに製品をリリースすることが可能になります。
各ステップ毎に
効率化&時間短縮
セキュリティ対策を開発に融合し、脆弱性リスクを減らすDevSecOps開発をドライブ
- 開発環境向けの様々な接続インターフェースやプラグインをご用意しており、お客様の統合開発環境、CI/CDパイプライン、課題管理システム等と連携して、DevSecOps開発を強力にドライブすることができます。
- ・Visual Studio、Eclipse
- ・Jenkins、Azure DevOps
- ・課題管理システムとのは直接連携
- 開発者もセキュリティ担当者も、バラバラのレポートを見たり、様々なテストツールにログインする必要はありません。SRMのプラットフォームを共有して、脆弱性リスクの検出から対策までのアクティビティを、開発環境や開発プロセスに統合することが可能になります。
プロジェクトダッシュボードにより、一元管理されたリスクの可視化・俯瞰が可能
- SRMのダッシュボードは、サイバーセキュリティの担当者が、最も見るべき測定結果から見ることができるようインテリジェントに設計されています。そのため、非常に効率よくレビューすることができます。
- 洗練されたGUIを活用して、全体を俯瞰するダッシュボードから、リスク優先度設定・確認、個々のリスク詳細確認等をシームレスに利用可能です。
業界の各種標準に基づいたリスク分類、優先順位付け等が可能
|
CERT C Secure Coding Standards CERT C++Secure Coding Standards CERT Java Secure Coding Standards CISQ Quality Measures CLASP CWE All CWE Development Concepts View CWE Research Concepts View CWE Top 25 Most Dangerous Software Errors(2019) |
DISA STIG 3.10 DISA STIG 4.10 HIPAA Hardware Design MISRA C(2012) MISRA C++(2008) : etc. |
Hybrid Analysis機能: SASTとDASTの検査結果を統合したリスク分析を可能に
Triage Assistant機能
(オプション): AI技術を応用、リスク低減の高速化を強力に支援
ツールオーケストレーション機能
(オプション): 大規模開発への対応
SRM は誰に有効ですか?
SRMは、AppSecプログラムの実用的なプラットフォームであり、管理者は不完全なアプリケーションをリリースするリスクを常に確認する事ができます。
1つの検証ツールだけでは全ての脆弱性を見つけることは困難です。
複数ツールの結果から分析されたSRMの脆弱性レポートは、セキュリティの専門家の活動を強力に助けます。更には、CI/CDパイプライン内への組み込みも容易で、DevSecOps環境を実現できる為、開発エンジニアは手戻りのないAppSec対策を進める事が可能です。
- 管理職
- セキュリティ担当者
- 開発エンジニア
SRM ユーザーの声
ソフトウェアテストコンサルティング会社
価格に加えて、重要視する項目は使い易さです。ツールの使用方法を学習する際の、従業員の学習曲線がどのようになるでしょうか。SRMは、使い方が簡単・明確で、コードをアップロードするだけで、簡単にスキャンできます。インストールが最も簡単なツールの1つでもあります。公共部門の組織
明らかに、SRMは複数の製品からの結果を相関させることにより、全体的な時間の短縮を実現します。公共部門の組織
SRMのセットアップは非常に簡単で、実際のユーザーにとって管理上の負担はほとんどありません。
約10分で起動して実行しました!公共部門の組織
SRMは、開発者間の標準化を実現し、多層ソフトウェア保証戦略の一翼を担うツールであることを示しました。SRMは、現実的な費用で組織内の全ての開発者に提供可能であり、ソフトウェア保証の武器の中で貴重なツールになる可能性があると考えています。公共部門の組織
エンタープライズレベルの素晴らしい点は、カバレッジを比較でき、どのツールがどの問題を検出しているかが分かることです。さらに付加価値の一つは、少なくとも5つの異なるオープンソースツールが同梱されており、それらツールを個別にインストールし保守する必要がありません。アプリケーションの脆弱性評価会社
SRMホームページの更新内容に対する周りの声:「そうだよ!!皆さんが行ったアプリケーション更新が本当に気に入っています。私たちは本当に感謝しています。なぜなら、新しい機能の追加だけでなく以前私達が提案したことも実現されているのですから。」アカデミックユーザー
SRMには、ツール出力分析に使う独特で便利なビューがあります。使用すべきツール、コードベースの場所、CWEの結果、重要度、重複する場所の数、すべての弱点の状態などを選んで分析可能です。Flow Vizは、脆弱性の発生源、脆弱性を検出できたツール、および脆弱性の重要度の有用なビューを示しています。アカデミックユーザー
レポートの進捗を文書化する良い方法を提供します。
各弱点にはアクティビティストリームがあり、コメントとステータスの変更を保存できます。MortgageFlex Systems Inc.
当社の製品の1つに対して [ Stat! ] を実行したところ、私(CIO)はもちろん、CEOやCOOも、本アプリケーションに非常に感銘を受けました。
コンプライアンスやその他の局面で削減できるであろう時間は驚異的な数字になります。
