Jtest Security－Java対応ソースコードセキュリティ検証ツール－

PCI DSS(Payment Card Industry Data Security Standard)は、国際的なクレジット カード会社が共同で策定した、カード会員データを取り扱う事業者が準拠すべきグローバルな基準です。
各カード会社は、カード加盟店や決済処理を代行するサービス会社などに対して、取引規模に応じて問診票による自己診断、外部機関による脆弱性スキャニング、認定審査機関による訪問審査を義務付けています。
さらに、PCI DSSは情報セキュリティ施策として、クレジットカード業界以外の一般の企業にも広がる動きを見せています。

PCI DSSには12の大きな要件があり、それぞれの要件がさらに詳しく細分化されています。12の要件は、ファイアウォールの構築から、安全なシステムの開発、セキュリティポリシーの整備までの広い範囲をカバーしています。

Jtest SecurityはPCI DSS 要件 6:「安全性の高いシステムとアプリケーションを開発し、保守すること」の準拠に役立ちます。

• 要件6.5 すべてのWebアプリケーション（内部、外部、アプリケーションへのWeb管理アクセス）を、「Open Web Application Security Project Guide」などの安全なコーディングガイドラインに基づいて開発する。
  注: PCI DSS v1.2が発行されたときに6.5.1～6.5.10に挙げられている脆弱性は、現在OWASPガイドに掲載されている。ただし、OWASPガイドが更新されている場合、これらの要件には現在のバージョンを使用する必要がある。


• 6.5.1 クロスサイトスクリプティング（XSS)
• 6.5.2 インジェクションの不具合（特にSQLインジェクション）LDAPとXpathのインジェクションの不具合、その他のインジェクションの不具合も考慮する。
• 6.5.4 安全でないオブジェクトの直接参照
• 6.5.5 クロスサイトリクエスト偽造
• 6.5.6 情報漏洩と不適切なエラー処理
• 6.5.7 不完全な認証管理とセッション管理
• 6.5.8 安全でない暗号化保存
• 6.5.9 安全でない通信
• 6.5.10 URLアクセスの制限失敗

Jtest Securityには、これらの脆弱性を検証するためのコンフィギュレーションがあらかじめ用意されています。

• PCI Data Security Standard(Server Configuration)コンフィギュレーションまたはOWASP Top 10 Security Vulnerabilitiesコンフィギュレーション

ルールのカスタマイズおよび新規作成機能により、新たに見つかった脆弱性パターンにも対応することができます。

ソフトウェア開発ライフサイクル全体を通じた情報セキュリティの確保
PCI DSSは、ソフトウェア開発ライフサイクル全体を通して情報セキュリティを実現すること(要件 6.3)を要求しています。
Jtest Securityを使って定期的にセキュリティを検査することは、この要件の実装に役立ちます。
また、テストの自動化やテスト結果の集中管理を可能にするナイトリー システムを構築したり、Jtest Securityを補完する他の製品やサービスを組み合わせて使用すると、さらに包括的なセキュリティ向上を実現できます。

Jtest Securityを補完するその他の機能

• 単体テスト：Jtest
• 統合テストおよび侵入テスト：SOAtest、WebKing
• 検証結果の統計管理：Concerto