日本IBMは6月11日、ウェブアプリケーションの脆弱性を開発の初期段階で検査し、開発期間の延長やコストの増大を防ぐソフトウェアの新版「IBM Security AppScan Source V8.6」を発表した。税別の使用料金は1194万1000円から。同日から販売が開始、6月12日から提供される。
Security AppScan Sourceは以前「IBM Rational AppScan Source」と呼ばれていた。今回の8.6では、ソースコードレベルで自動的にセキュリティを検査する機能を、Android端末アプリに拡張している。
開発の早い段階でソースコードを分析して、データがアプリの中をどのように流れ、どこでアプリから外部に引き渡されるのかを識別し、情報漏えいの可能性を検出することで、Androidのセキュリティリスクに事前に対応できると説明する。
アプリ完成後に脆弱性を検査すると、大幅なプログラム変更の必要性が生じて開発期間が延長し、結果的に開発コストが増大する可能性がある。これに対してAppScan Source V8.6は、開発段階で検査するため、脆弱性の問題を早期に発見でき、期間の延長やコストの拡大を防げるとメリットを強調している。
前版までは分析対象のソースコードの依存関係設定を手動で行う必要があったが、AppScan Source V8.6は「Application Discovery Assistant」機能ですべて自動的に設定できるようになっている。
日本IBMは同日、ウェブアプリケーションを実際に稼働させた上で脆弱性があるかどうかを検査して、レポートするソフトウェアの新版「IBM Security AppScan Enterprise(旧Rational AppScan Enterprise) V8.6」も発表している。AppScan Enterprise V8.6でも、モバイルウェブアプリの検査に対応している。
AppScan Enterprise V8.6では、アプリの振る舞いを学習して検査内容に反映するシステムを実装することで、ウェブアプリケーションでのセキュリティホールの1つであるクロスサイトスクリプティング(XSS)の分析機能を強化している。前版よりもXSSの脆弱性検査の精度が向上しているという。
AppScan EnterpriseとAppScan Sourceを組み合わせることで、多くのユーザーがそれぞれの権限に基づいてアプリケーションの開発から運用までのライフサイクルでの総合的なセキュリティリスクをネットワーク経由で管理できるようになる。両製品を組み合わせた税別の使用料金は1969万7400円から。
