Cigital 3D ロゴ
サービス提供フロー
テスト種別表 1
テスト種別表 2
詳細URL: https://www.asteriskresearch.com/cigital-3d/
■Cigital 3D - “Test as a Service”
<提供の背景>
アプリケーションは、社内向け、社外向けを問わず、危険にさらされています。ウェブサイトからの情報漏えいの影響は企業のブランドのみならず、存続を脅かします。しかし、脆弱性テストには大きなリソースを必要とし、かつ、経営者が期待する問題の深刻さについての評価や、開発サイドが期待する改善のための提案など、そのテストからのフィードバックは期待との隔たりがありがちです。
<概要>
「Cigital 3D」は世界最大のソフトウェアセキュリティに特化したコンサルティング企業の米国 Cigital社の、グローバルのテスト・リソースを活用する“Test as a Service”です。年間固定料金のサブスクリプション費用で、ウェブとスマートフォンのアプリケーションをテストすることができます。
テストは、2営業日で終了する繰り返し行うタイプの自動テストから、5営業日程度必要とするエキスパートによる手動の侵入テストまで、目的別に深度を選んでオーダーすることができます。テストのスケジュールは、自由にカレンダーから設定することができ、またテストの深度をテスト開始後に変更することも可能です。
■制限的なストレスのないテストを提供し、QCDを向上
攻撃にさらされる環境に鑑みると、アプリケーションのセキュリティテストは、ページ数や機能数に対して、また繰り返し行う調整に関して制限的であっては意味がありません。QCD(クオリティ・コスト・デリバリー)は薄くなり、ソフトウェア資産のセキュリティ保護の観点からもメリットがありません。
この「Cigital 3D」の方式により、従来のソフトウェアテストの準備の複雑さやリソース確保、そして逐次のコスト見積もりから解放され、同時にソフトウェア開発におけるセキュリティ確保に専念でき、かつソフトウェア開発の質や開発者の技術レベルを大幅に向上させることができます。
品質管理やセキュリティチームなど、すでに脆弱性テストの体制がある企業にとっては、体制の増強、提供価値の向上に極めて有効に活用できます。
「Cigital 3D」のセキュリティテストは、1アカウント、1カレンダーがあり、それでスケジュールできる限りオーダーすることができます。すべてのセキュリティテストには、ツールからの誤検出をフィルタする作業と、エキスパートによるレポートが提出されます。
<例>
・自動セキュリティスキャンのDSS(Dynamic Security Scan)は2営業日程度
・自動ハッキングテストのAEH(Automated Ethical Hack)を3営業日程度
・手動ハッキングテストのMEH(Manual Ethical Hack)は5営業日程度で完了します。
また、スマートフォンアプリケーションのテストにおいては、コーディングのチェック(静的解析)も可能です。
■Cigital 3Dのレポートの有効性
テストのオペレーションは難しくありません。日本語に対応したオンラインポータルでいつでも簡単に管理できます。テストの注文やスケジュールの一元管理、またテスト終了後の脆弱性レポートでは各種のグラフが提供されます。
さらに、担当したセキュリティエキスパートとのフォローアップコール(オンライン会議)もできます。また、従来の脆弱性テストの課題となりがちな、開発現場へのフィードバックについては、脆弱性発見の再現手順、影響の深刻度合いのスコア、実践的な改善提案(セキュア開発のためのプロアクティブ・コントロール)が率直なレポートに含まれます。セキュリティ欠陥が発生しているという事実の認識にとどまらず、テスト後の修正対策にきっちりとつなげることができるという点で有効に活用しやすいサービスです。
■Cigital 3Dのプライシング
1アカウントごとの販売となっており、追加で並列してオーダーできるためのオプションがあります。サブスクリプション費用は、年に4回かそれ以上脆弱性診断を実施する企業(PCI DSS要件等)であればコストメリットが大きくあります。また、実施できるスキルのある技術者を雇用するより安価です。
■Cigital社について
Cigital, Inc.(本社:米国バージニア州)は、1992年の創業以来、ソフトウェアセキュリティに特化したコンサルティングサービスおよび製品を提供しています。世界で最初の静的コード解析の商用ツールを開発し、そのエンジンは既存の多くのコード分析製品に組み込まれています。20年以上にわたって、設計段階から運用段階までのセキュアなソフトウェア開発を包括的に支援しており、OWASP Global Supporterに加盟しています。CTOのGary McGraw(ゲイリー・マグロー)はソフトウェアセキュリティ業界のオピニオンリーダーです。
■株式会社アスタリスク・リサーチについて
株式会社アスタリスク・リサーチは、2006年に設立された、東京都千代田区に本社を置く企業であり、ソフトウェアと情報資産のガバナンスにフォーカスしたリサーチ、またエキスパートのトレーニングやコンサルティングを中心としたサービスを提供しています。セキュリティ事業に関して“enabling security for developers”(開発者にとって有効なセキュリティ)というミッションのもと、安全と安心を支えるインターネット社会を確かなものに、かつ持続可能なものにするために、ビジネスの側面でも、コミュニティの側面でも積極的に取り組んでいます。
URL: https://www.asteriskresearch.com