AppScanによるテスト結果の報告は、非常に詳細かつ事後の対応を行いやすい形で行われる。発見された脆弱性は、重大度別(高、中、低)にリストアップされる。ここで、「高」「中」と判定された脆弱性は、すぐさま対処する必要があるものだ。発見された各問題については、詳細な解説とその問題の影響、問題の起きたURL、パラメータなどをドリルダウン形式で一覧できる。
さらに、その脆弱性の修正方法は、.NET、Java、PHPのサンプルコードとともに提示される。検査の最終的な目標である「問題の修正」をスムーズに行うための情報が提示される。
そのほか、発見された脆弱性に関する申し送りを容易にする機能なども用意されている。レポートへのアプリケーション画面の添付、AppScanからの「PCI DSS」「OWASP Top 10」といったコンプライアンスレポートの参照なども可能だ。英語、日本語をはじめとする10カ国語に対応しており、海外で運用しているサイトについてのガバナンスを国内で統括して管理したいといった場合にも活用できる。
検査に利用されるルールについては、世界中で日々更新される脆弱性情報、新たな攻撃手法にキャッチアップできるよう、頻繁に(最大週2回)更新される。また、最新版のAppScanでは「JavaScriptセキュリティ・アナライザー」と呼ばれる新機能が搭載された。これは近年のWebアプリケーションにおいて、JavaScriptプログラムに由来する脆弱性が増えていることへの対策として追加されたものだという。この機能では検査時にJavaScriptコードを静的に分析し、DOMベースのクロスサイトスクリプティングといった脆弱性を検出できる。問題が発見された場合は、コードの問題のある個所をピンポイントで指摘してくれる。
「AppScan Standardは、例えば自社開発を行っている企業のQA部門での活用や、外部の開発会社に開発を委託している場合の受け入れ検査などに活用できます。限られた時間やリソースの中で、カバレッジが広く、精度の高いセキュリティ検査を、標準化された形で実施できるというのは、ビジネス上の大きなメリットになります」(徳力氏)
一方の「AppScan Source」は、動的解析を行う「Standard」に対し、より上流のコーディングやビルドの段階で、ソースコードそのものの「静的解析」を行える製品である。Microsoft Visual Studio、IBM Rational Application Developer、EclipseといったIDE(統合開発環境)のアドオンとして利用できる。
「Standardによる動的検査だけでは、リリースが近くなってからの検査になりがちで、そこで問題が発見された場合の修正コストが高くなってしまいます。また、出荷間際には修正対応の時間も限られます。AppScan Sourceを使って、要求、開発、ビルド、テスト、統合のサイクルの中にセキュリティ対策を組み込めれば、問題の発見がより早くなり、結果として修正コストを最小化できます」(徳力氏)
AppScan Sourceで検査できるコードは、PHP、Perlをはじめ、Java、JavaScript、JSP、C、C++、.NETなど。最新バージョンではモバイルアプリの脆弱性も検査できます (現時点ではAndroidアプリケーションに対応)。検知できた問題については、強力なフィルタリング機能によって、対応が必要な範囲を絞り込むことができ、より実際的な開発のワークフローをサポートできるとしている。
徳力氏は最後に、開発を行う企業において、セキュリティ対策に「より多くの人材を巻き込んでいく」ことの重要性を訴えた。
「一般的にセキュリティ専任の担当者がいる企業は少ないと思いますが、現状では、その少ないリソースのみで、セキュリティ品質確保の取り組みを行っているケースが多いのではないでしょうか。しかし、その体制では、検査できる範囲や対象はどうしても限られてしまいます。AppScanのようなツールを社内に広く展開することで、セキュリティチームだけでなく、品質保証部門、開発部門などのリソースを"浅く広く"セキュリティに関与させていくことで、より検査対象や範囲を広げ、成果物の品質を高めていくことができます。これを可能にするためには、Standardによる"動的検査"と合わせて、Sourceによる"静的検査"をプロセスに導入していくことが効果的でしょう」(徳力氏)