東陽テクニカは1月5日、イスラエルのCheckmarxが開発する脆弱性静的解析プラットフォーム「Checkmarx CxSAST」を用いたオンデマンド型のクラウドサービス「Cxクラウド」を開始した。
Cxクラウドは、コンパイル前/ビルド前のソースコード解析を東陽テクニカのクラウドサーバ上にあるCxSASTを使って、手軽に低コストで実施できるようにしたサービス。同社では2016年7月よりCheckmarx CxSASTを販売し、「誰でも容易に脆弱性診断が実施でき、セキュリティ問題の検出・対策の第一歩を踏み出すことができるよう、今回新たにクラウドサービスという形で提供することにした」と説明する。
サービス体系は2種類あり、1アカウントで1プロジェクトを対象に1回の解析を行う「Cxクラウド1スキャンサービス」が20万円、1アカウントで1プロジェクトを対象として1カ月間であれば何回でも解析が可能な「Cxクラウド1カ月間パック」が50万円となる。
CxSASTは、ソースコードに潜む脆弱性を検出、可視化することで、安全なソフトウェア開発を支援する脆弱性診断プラットフォーム。PCI-DSS(クレジットカード業界における国際的なセキュリティ規格)やCWE(Common Weakness Enumeration:ソフトウェアにおけるセキュリティ上の脆弱性の種類を識別するための共通脆弱性識別子)などのセキュリティに関するガイドラインにも対応する。
脆弱性診断においては現在、コンパイル後/ビルド後のアプリケーションの脆弱性解析を外部に依頼する方法が主流となっているのに対し、CxSASTではコンパイル前/ビルド前の状態で解析を行うため、ソースコードの安全性を早い段階から把握でき、脆弱性の修正による手戻りコストの大幅な削減が可能となる。
解析対象としては20種類のプログラミング言語に対応。Salesforce.comのForce.comプラットフォームで利用されるプログラミング言語Apex(Visual Force)の解析が可能な唯一のプラットフォームでもある。
Checkmarx CxSAST機能概要