日本HP、静的・動的解析を融合したWebアプリ脆弱性検査ツール

HPソフトウェア事業統括 ビジネス・テクノロジー・ソリューションズ統括本部 Fortify事業部 ソフトウェアセキュリティコンサルタントの荒井健太郎氏

　日本HPは14日、アプリケーション脆弱性の静的解析ソフト新版「HP Fortify 360 V3.0」と動的解析ソフト新版「HP Web Inspect 9.0」を発表した。

　HP Fortify 360 V3.0には、HP Web Inspect 9.0との連係動作を可能にするオプション製品「HP Fortify 360 SecurityScope」が含まれており、静的解析と動的解析を組み合わせた“リアルタイムハイブリッド解析”が可能になるという。

　静的解析はソースコードを網羅的に精査する手法で、動的解析はWebアプリに擬似攻撃をかけ実際の挙動を見る手法。両者にはそれぞれメリット・デメリットが存在する。

　静的解析のメリットは、ソースコードに対して検査を行うため、脆弱性の根本原因・修正個所が即座に特定できる点だ。一方で、その脆弱性が悪用されると実際にWebアプリがどういう挙動を起こすのかは分かりづらい。動的解析は、Webアプリ実行環境まで含めた問題が検出できる一方で、Webブラウザに出力されない内部で発生する問題は特定できず、またソースコードの問題箇所をピンポイントで特定するのには向いていない。

動的解析。Webアプリに対して攻撃パターンを含んだHTTPリクエストを送り、レスポンスの内容から脆弱性を特定する	静的解析。ソースコードを精査して脆弱性を特定する

リアルタイムハイブリッド解析で両解析手法のデメリットを補完する

自社導入からオンデマンドSaaSなど提供形態も柔軟に用意

　「両者を組み合わせるとデメリットが補完され、静的・動的・ランタイム解析を結合し、個々の手法では難しいセキュリティホールの関連付けが可能となる」（HPソフトウェア事業統括 ビジネス・テクノロジー・ソリューションズ統括本部 Fortify事業部 ソフトウェアセキュリティコンサルタントの荒井健太郎氏）。

　具体的には、動的解析と静的解析の橋渡し役として、ランタイム解析を実行し、アプリケーションの動作を仮想マシンレベルで監視し、アプリケーションの動的な動きをコードレベルの流れで監視する。ランタイム解析の中で、動的解析で脆弱性の見つかった対象URL情報と、静的解析のファイル名・行情報が記録されており、これにより動的解析と静的解析の相関付けが可能になるという。

　昨今、攻撃の主流はアプリケーション層に対する攻撃となっている。Ponemon Instituteの調査では、80％の攻撃がこの層をターゲットにしたものだった。理由は86％のアプリケーションに脆弱性が存在するためだという。

　日本HPでは、この現状への対策として、アプリケーションライフサイクルすべての過程でセキュリティを考慮すべきと提案。「今回のリアルタイムハイブリッド解析によって、設計・コーディング・テスト・運用のすべてにおいて最適なテストを実施する環境が整う」（荒井氏）としている。

　なお、HP Fortify 360 V3.0ではその他の新機能として、SAPの開発言語「ABAP」をサポートするとともに、.NET 4.0やWebsphere 6.0のプラットフォームを新たに分析対象としてサポートしている。HP WebInspect 9.0では、攻撃パターンの再現/編集と再テストが容易になったほか、より複雑な認証とセッション管理機能を追跡できるログインマクロ記録機能を搭載している。また、新たな脅威への対応として、ブラインドSQLインジェクション、DOMベース・クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリなどの検知にも対応した。

　価格は、HP Fortify 360 V3.0が336万円から、HP WebInspect 9.0が252万円から、HP Fortify 360 SecurityScopeが168万円から。販売開始はいずれも7月1日より。