• Jtest
  • －セキュリティ 【Jtest Security】
    • 機能紹介
    • 検出できる脆弱性(抜粋)
    • PCI DSS
    • OWASP TOP10
    • CWE/SANS TOP25
    • 評価支援
• 資料／ダウンロード
• お問い合わせ

Jtest Security－Java対応ソースコードセキュリティ検証ツール－

機能紹介

Jtest Securityの特長

Jtest Securityは、Javaコードに潜むさまざまなセキュリティ脆弱性を検出します。ソフトウェア開発ライフサイクルの早い段階から適用でき、継続的なセキュリティの確保を可能にします。 クロスサイトスクリプティングやSQLインジェクション、HTTPレスポンス分割といった、セキュリティ脆弱性を検出する200種類のルールが搭載されており、Webアプリケーションを脅かす攻撃に対して、脆弱なコードをピンポイントに検出します。また、OWASP TOP10、PCI DSS、CWE/SANS Top 25などの権威ある団体が発表したセキュリティ脆弱性のルールカテゴリがあらかじめ用意されているので、すぐに検証を実施することが可能です。搭載されているルールやルールセットは容易にカスタマイズできるので、ユーザ独自のセキュリティポリシーに合わせたルールおよびルールセットを作成し、チーム内で共有することで、ポリシーへの準拠を徹底することができます。

ソースコードレベルでの検証

Jtest Securityはソースコード自体を解析することでセキュリティ脆弱性を検証します。そのため、膨大なパターンのテストデータを作成したり、テスト実行用の環境を用意する必要がありません。また、静的に解析するので、アプリケーションを動作させる必要もなく、かつ、網羅率の高い検証が行えます。

アプリケーションライフサイクル全体に適用可能

ソースコードを対象とする検証なので、アプリケーションが完成する前でも検証を開始できます。定期的に検証を実行すると、コードに入り込んだセキュリティ脆弱性をただちに発見し、修正することができます。問題箇所を早期に修正することで、修正コストを最小限にとどめることができます。また、アプリケーションの拡張時にも、コードの変更によって既存のコードを含めたアプリケーション全体に新たな問題が発生していないことを確認できます。

OWASP TOP 10※1やPCI DSS※2、CWE/SANS最も危険なプログラミングエラーTOP 25※3といった権威ある団体発表しているWebアプリケーションの安全性に関する基準で取り上げられているセキュリティ脆弱性を含むコードを検出

約200種類のセキュリティ脆弱性に関するコーディングルールが搭載されています。また、ルールの重要度や、PCI DSS、OWASP TOP 10、CWE/SANS TOP 25)などのカテゴリに従って選択されたルールのセットがあらかじめ用意されているため、すぐにセキュリティ検証を開始することができます。

• OWASP Top 10とJtest Securityについては、OWASP TOP 10をご覧ください。
• PCI DSSとJtest Securityについては、PCI DSSをご覧ください。
• CWE-SANS Top 25とJtest Securityについては、CWE/SANS TOP 25をご覧ください。

※1 OWASP (Open Web Application Security Project)は、安全なWebアプリケーションを実現するためのセキュリティ向上を推進する非営利団体で、OWASP TOP10は、2007年に公開された脆弱性トップ10です。
※2 PCI DSSは、Visa、MasterCard、American Express、Discover、JCB International が共同で創設したPCI Security Standards Councilによって、クレジットカード会員情報を取り扱う上で、カード情報とITシステムを安全に保護するための基準で、12の要件が定義されています。今日では、クレジットカード業界のグローバルセキュリティ基準となっており、クレジットカード業界以外でも、セキュリティの基準に採用する企業が増えています。
※3 CWE/SANS最も危険なプログラミングエラーTOP 25は、SANS InstituteとCWE（Common Weakness Enumeration、統一的なソフトウェアの欠陥の一覧を定めるプロジェクト）が2009年1月に発表したもので、世界各国の30の情報セキュリティ機関・団体から選ばれたエキスパートによって、情報漏えいやサイバー犯罪につながる危険なプログラムエラーの上位25が選定されています。

すぐに使用可能な200種類のルール

情報漏えいや情報の改ざん、なりすましなどに利用される、インジェクションやクロスサイトスクリプティング(XSS)、HTTPレスポンス分割などの約200種類のセキュリティ脆弱性に関するコーディングルールが搭載されています。また、ルールの重要度や、カテゴリに従って選択されたルールのセットがあらかじめ用意されているため、すぐにセキュリティ検証を開始することができます。

ユーザ独自のセキュリティポリシーに基づくルールの追加やカスタマイズ

搭載されている多くのルールは、変更可能なパラメータを備えています。検証の対象とするクラスやメソッド、例外とするパターンなどを指定することにより、ルールをきめ細かくカスタマイズできます。また、ユーザ独自のルールを新たに作成することも可能です。これにより、ユーザのセキュリティポリシーを自動的に推進することができるようになります。

その他の性能や品質に関わるコーディングルール

セキュリティに関わる問題点の探索に加えて、800種類のコーディングルールが搭載されており、不定・不良データへのアクセスといったアプリケーションの性能や品質に影響するようなコードの探索やメトリクスの計測、重複コードの検出などを静的に解析することも可能です。セキュリティ上の脆弱性の検証に加えて、これらの性能や品質に関わるコーディングルールでの検証を実施することにより、アプリケーションの品質向上も図ることができます。

Jtest8.4セキュリティルール OWASP Top 10対応表 OWASP Top 10で挙げられている10個の脆弱性に対応したJtestセキュリティルールの一覧表です。 セキュアコーディングのすすめ1、2 ソースコードから実施するセキュリティ対策に関する技術資料です。 資料/ダウンロードページより、ご提供しています。(ご登録が必要です。) ページトップ サイトポリシー セキュリティポリシー Copyright (c) 2012 TechMatrix Corporation. All rights reserved.