■ソースコードの分析で世界的に定評のあるツール
コベリティ社の製品群は、「ソースコード静的解析※1」ツールと呼ばれており、情報システムのプログラム(ソースコード)を網羅的に分析し、セキュリティ面の脆弱性や品質に関わる問題を検出します。それによって、ソフトウエア開発の早い段階で、問題となる点の修正を可能にするツールです。誤検知率が低く使い勝手が良いと定評があり、世界中の大手企業や航空宇宙・防衛分野で採用されています。
■ソフトウエア開発の全工程を通じて、セキュリティ水準の向上を支援
近年、情報システムの開発は、クラウドサービスの活用や、複数の動作環境での同時開発、さらには多数のシステムの連係などにともなって、一層複雑化しています。また、サイバー攻撃の対象範囲も拡大しており、ウェブアプリケーションやスマートフォンへの攻撃のみならず、プリンタやスマートテレビ※2、車載システムなど組み込みアプリケーションも、攻撃の対象となっています。
そのような環境変化を背景に、より高度なセキュリティ対策が求められています。セキュリティ診断は、システムの開発完了後に行うことが一般的ですが、それだけでは脆弱性等の問題発見が遅れ、手戻りの発生により非効率になる場合があります。そこで、開発後の診断に加え、システムの開発と並行して早期に問題を発見し、対策を講じることが課題となっています。
NRIセキュアは、この課題に対し、「要件定義⇒設計⇒実装⇒環境構築⇒運用」からなる、ソフトウエア開発全工程※3を通じて、一貫した「セキュリティ診断/設計開発支援サービス※4」を提供しています。また、顧客企業自らが各種ツールを駆使した診断を行うための、「診断内製化支援サービス」を提供しています。具体的には、ツールを利用するための「導入コンサルテーション」、「環境構築支援」、「トレーニング」、「実行支援(結果検証方法の支援)」を提供しています。コベリティ社の製品群を、診断内製化支援サービスで利用するツールのラインアップに加えることで、さらに安全で高品質なシステム開発を支援します。(図1参照)
図1 NRIセキュアが提供するサービスにおけるコベリティ社製品の位置づけ
(リンク »)
NRIセキュアは、今後も企業等の情報システム構築において、安全で高品質なアプケーション開発を支援していきます。
用語解説
※1 ソースコードの静的解析:
ソフトウエアの解析手法の一種。プログラムを実行することなく、ソースコード(プログラミング言語を用いてコンピュータに対する命令を記述したテキストファイル)の解析を行うこと。逆に、ソフトウエアを実行して行う解析を、動的プログラム解析と言う。静的解析により、プログラムの実行環境が整うより前に、早期の診断が可能となる。
※2 スマートテレビ:
インターネットへ接続する機能を有する、多機能型のテレビのこと。
※3 ソフトウエア開発の全工程:
ソフトウエアの開発は、一般的に要件定義、設計、実装、環境構築、運用の5段階で行われる。それぞれの段階の概要は、以下の通りである。
・要件定義・・・ソフトウエアの機能や、満たすべき性能を明確にする
・設計・・・プログラムの構成や仕様を定義する
・実装・・・設計書で定義された仕様を満たすプログラムを作成する
・環境構築・・・システムが作動するサーバなどの環境を構築する
・運用・・・システムが正常に稼動し続けられるような状態を維持する
※4 セキュリティ診断/設計開発支援サービス:
NRIセキュアでは、企業のシステム開発における、全工程を網羅したセキュリティ強化支援サービスを提供しています。詳しくは、以下のURLをご参照ください。
(リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。