NEC、自社のソフト開発基盤にアプリケーション脆弱性の静的解析ツール「HP Fortify SCA」を採用

　日本ヒューレット・パッカード株式会社（日本HP）は27日、日本電気株式会社（NEC）が、アプリケーション脆弱性の静的解析ツール「HP Fortify SCA（Source Code Analysis）」を、ソフトウェア開発環境のクラウドサービス「ソフトウェアファクトリ」において採用したと発表した。

　HP Fortify SCAは、ソースコードを静的に解析し、アプリケーションの脆弱性や品質にかかわる問題点を検出するツール。アプリケーションの構造上発生する品質とセキュリティの問題を、ソースコードをコーディングする段階で高精度に検出可能なため、セキュリティの専門性の高いこれらの修正方法を、問題重要度別に開発者へ的確にガイドできるという。

　一方のソフトウェアファクトリは、NECグループで利用されているSaaS型の共通ソフト開発基盤。サーバーや開発ツール、ソフト資産、テンプレートなどを集中管理し、ソフトウェア開発の標準化・自動化を推進している。

　今回NECでは、ソフトのセキュリティ脆弱性を巧妙に突く攻撃が増えたことを受け、備えを万全にするために、HP Fortify SCAを採用。開発者がセキュリティの高度な知識を必要とせずに問題個所を発見・修復できるようになったため、後戻り工数の削減と出荷後の問題発生リスク低減を実現したとのこと。なお、HP Fortify SCAを選定した理由としては、検証精度が高いこと、幅広い言語に対応していることを挙げている。