イスラエルのCheckmarxの「Checkmarx CxIAST」は、Webアプリケーションの脆弱性を検査するソフト。Webアプリケーションの脆弱性を、Webアプリケーションが動作しているときに、動的に検出する仕組み。この仕組みにより、工数をかけることなく「DevSecOps」、つまりWebアプリケーションの開発サイクルにセキュリティ対策ツールを組み込むことで、脆弱性を検知してすぐに修正できるとしている。

Checkmarx CxIASTの概要。既存の機能テストや実際のWebアクセスの裏で、動的にWebアプリケーションの脆弱性を検出してソースコードとともに提示する
(出所:東陽テクニカ)
[画像のクリックで拡大表示]

 Webアプリケーション動作時に動的に脆弱性を検出する仕掛けとして、Webアプリケーションサーバーに検査エージェントを組み込む。エージェントがWebアプリケーションの挙動を監視し、脆弱性をリアルタイムに検出する。ソフトウエアの開発工程で実施する機能テストの裏で、同時に脆弱性の診断テストができる。

 Webアプリケーション全体のデータフローを可視化できる。これにより、自社で開発したコードだけでなく、ソースコードがないサードパーティ製のライブラリについても脆弱性を検出できる。検出した脆弱性は、Checkmarx CxIASTが逆コンパイルしたソースコードとともに提示する。開発者は、修正すべき脆弱性がコード内のどこに存在するかを特定できる。

 脆弱性を検出できる開発言語は、Java、Node.js、C#。検出可能な脆弱性は、標準で、SQLインジェクション、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエストフォージェリ)、XXE(XML外部実体攻撃)、パラメータ改ざんなど、約40種類。脆弱性を検出するアルゴリズムはカスタマイズが可能で、検出対象となる脆弱性の数を増減できる。

Checkmarx CxIASTの概要
用途と機能Webアプリケーションの脆弱性を検査するソフト
仕組みWebアプリケーションの脆弱性を、Webアプリケーションが動作しているときに、動的に検出する。Webアプリケーションサーバーに組み込んだ検査エージェントがWebアプリケーションの挙動を監視し、脆弱性をリアルタイムに検出する
特徴自社で開発したコードだけでなく、ソースコードがないサードパーティ製のライブラリについても脆弱性を検出できる。検出した脆弱性は、Checkmarx CxIASTが逆コンパイルしたソースコードとともに提示する。開発者は、修正すべき脆弱性がコード内のどこに存在するかを特定できる
脆弱性を
検出できる開発言語
Java、Node.js、C#
検出可能な脆弱性標準で、SQLインジェクション、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエストフォージェリ)、XXE(XML外部実体攻撃)、パラメータ改ざんなど、約40種類。脆弱性を検出するアルゴリズムはカスタマイズが可能で、検出対象となる脆弱性の数を増減できる
価格
(税別)
非公開
発表日2019年7月26日
提供開始日2019年7月31日
備考発表日/提供開始日と価格は、販売代理店である東陽テクニカの場合