セキュリティ評価ソフトの Cenzic が Borland と提携

セキュリティ評価ソフトウェアの Cenzic は29日、Borland Software の新しいバージョン管理ソフトウェア『Borland Gauntlet』に、自社のアプリケーション セキュリティ リスク管理製品『Cenzic Hailstorm』をバンドルすると発表した。Cenzic は、Web アプリケーションの安全性について、その背後にあるファイヤーウォールに及びもつかないと主張する。

Hailstorm は、アプリケーションの配備前、配備後を問わず、そのセキュリティ リスクを評価する。同製品が目指すのは、開発中のアプリケーションでもセキュリティ上の脆弱性をチェックし、配備前に問題を捉えることにある。

Cenzic のマーケティング担当副社長 Mandeep Khera 氏は、取材に応じて次のように語った。「ネットワーク セキュリティを扱う人々は、ファイヤーウォールなどを通じ、ネットワークの安全性の面で実に素晴らしい成果を上げた。しかしクラッカーは、ネットワーク アプリケーションのセキュリティ水準が低いことに気づき、ネットワークに対する攻撃ではなく、アプリケーション層を攻撃し始めている」

Khera 氏によると、Cenzic は Fortune 1000 企業を対象に行なった調査で、まったく脆弱性が存在しない Web ベースのアプリケーションは、ただの1つも見つけられなかったという。

IT 調査会社 Burton Group のセキュリティ アナリスト Diana Kelley 氏は、そのような状態が生じていることについて、優先順位がやや異なるためだと指摘する。「Web アプリケーションの場合、たいていは構築や配備をいかに素早く行なうかがすべてだ。実際、セキュリティのことは念頭に浮かばない」

もう1つの問題は、アプリケーションの構築方法にある。Cenzic の Khera 氏によると、Web アプリケーションの開発者はセキュリティの方法論にそれほど詳しくなく、またセキュリティに精通している人が、Web アプリケーションの開発に携わることは稀だという。

Hailstorm はアプリケーションに関して、クロスサイト スクリプティングや SQL インジェクション、あるいはバッファ オーバーフローなどの問題を検査するほか、セッション乗っ取りなど、ブラウザレベルのセキュリティもチェックする。Hailstorm は『Stateful Assessment』という技術により、アプリケーション配備時のより正確な状況を把握するため、セキュリティ検査中のアプリケーションの状態を保持する。Borland の開発者ソリューション担当ディレクタ Rob Cheng 氏は、取材に対して次のように述べた。「継続的に試験を行ない、視認性をもたらす Gauntlet の機能に、Hailstorm のアプリケーション脆弱性検知機能を統合することができ、大変うれしく思っている。両ソフトウェアの組み合わせにより、顧客は開発プロジェクトに着手したその日から、品質とセキュリティを確保できる」