オブザーバビリティ(可観測性)プラットフォームを提供するNew Relicは8月31日、「New Relicインタラクティブ・アプリケーション・セキュリティ・テスティング(IAST)」のパブリックプレビューを発表した。
DevOpsの拡大により、かつてなく迅速にソフトウェアを開発・リリースできるようになっているが、それでもなお85%のアプリケーションに脆弱(ぜいじゃく)性が含まれているという。エンジニアリングチームとセキュリティチームは、脆弱性の正確な特定と優先付けをし、エクスプロイト検証によって検証して修正を迅速化できる、明確な因果関係に沿ったアプローチの採用を迫られているとNew Relicは述べる。さらに、既存のアプリケーションセキュリティテストの手法は受動的なアプローチに依存していることが多く、コストの増加、誤検知、リリースサイクルの遅延を招くことにもなっているという。
New Relic IASTは、脆弱性への迅速な対応に必要不可欠な可視性と検知機能を提供する。また、一般的なアプリケーションセキュリティテスト手法で生じがちな誤検知をほぼ排除することで、ソフトウェアエンジニアとセキュリティチームがこれらの問題を解決することを支援する。同社の特許取得済みの手法を活用して、脆弱性の自動検証とエクスプロイト検証を提供し、ノイズを低減してより効果的で迅速な修正を可能にする。
以下の主な機能とメリットをNew Relic IASTは備える。
- 360度の可視性:前後関係の分析から導かれたインサイトを使用してアプリケーションスタックと関連する関係性を表示し、ブラインドスポットを減らし、修正作業を検証可能にする
- 誤検知の低減:進化した検知の正確性、リスクベースの優先順位付け、脆弱性検証の自動化により、チームは実際のセキュリティリスクに集中できるようになる
- エクスプロイト検証:動的評価機能により、実際の攻撃をシミュレートすることで脆弱性の原因を突き止め、悪用可能な脆弱性を特定・修正・検証できるようにする
- ガイド付き修正機能:修正手順/ガードレール/ステータス追跡により、開発者がアプリケーションのライフサイクル全体にわたって重大なミスを回避できるように支援する
- CI/CDプロセスに容易に組み込み可能:既存のアプリケーションパフォーマンスモニタリング(APM)エージェントなどでの容易なデプロイメント、また継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインとチケットシステムとのシームレスなインテグレーションにより、既存のプロセスとワークフローの中断を防止する
New Relic IASTは現在、New Relicプラットフォームの一部としてパブリックプレビュー版の利用が可能となっている。
