日本ヒューレット・パッカードは9日、Webアプリケーションの開発/テスト/運用といった全ライフサイクルに渡ってセキュリティを考慮した品質管理を実施するBTOソリューション「HP Application Security Center」を発表した。BTOという日本HPが得意とするソリューションでもって、急激なマーケット拡大が予想される市場に本格参入する構えだ。
Webアプリケーションのビジネスにおける重要性とともに、そのセキュリティ対策への関心も高まっていながら、SQLインジェクションなどによる被害は拡大する一方という昨今の事情を受け、HPが出した答えは「開発→テスト→運用といったすべてのプロセスにおいて、共通のセキュリティポリシー/品質管理環境の下、その時々でセキュリティチェックを行う」というもの。アプリケーションの本番運用後に脆弱性が見つかっても、それを改善するには膨大な手間とコストがかかってしまうことになるが、たとえば開発中にまぎれこんだ脆弱なコードに対して、作業中のエンジニアにアラートを出すことができれば、その分だけ無駄を減らすことが可能になる。
HP Application Security Centerは4つの製品から構成されており、単一の製品だけを導入することも可能だが、組み合わせることでより大きな効果を得られるという。
- HP DevInspect Software…開発段階でソースコード分析と自動修正を行う。ハイブリッドアナラシス(静的分析 + 動的スキャン)による高速かつ正確な分析が特徴。MS Visual Studio, Eclipse, Rational, .NETなどさまざまな開発環境のアドオンとして動作する。最小構成価格43万1,340円から
- HP QAInspect Software…QAテスト段階でテストエンジニアのセキュリティ検査を支援。HPの別の品質管理ソリューション「HP Quality Center」と連携して動作し、同一画面で品質とセキュリティのテストを管理。つねにアップデートされている脆弱性情報データベース「HP SecureData」をベースにブラックボックステストを行う。最小構成価格809万5,500円から
- HP WebInspect Software*…運用段階でシステム管理者、セキュリティエンジニア、監査人などのセキュリティ検査を支援。詳細なコンプライアンスレポートを作成可能でカスタマイズも容易。QAInspectと同様、SecureDataをベースにブラックボックステストを行う。最小構成価格は305万1,300円から
- HP Assensment Management Platform Software…他3製品を大量導入する大規模ユーザ向けの製品。アプリケーションのライフサイクルを統合的に管理し、ポリシーや権限などを集中制御する。スキャン結果分析などで得た情報を一元管理する。最小構成価格は1,716万2,460円から(初年度保守含む)
HP DevInspect Software: 静的なソースコード分析と動的スキャンのブラックボックステストを組み合わせたハイブリッドアナラシスが採用されている |
HP QAInspect Software: HP Quarity Centerと連携することで、セキュリティを品質管理プロセスに統合することが可能に |
HP WebInspect Software: もともとセキュリティの専門家向けに作られた製品。グラフィカルなUI特徴、エージェント機能でAMPと統合可能 |
HP Assensment Management Platform Software: ダッシュボードでリスクのスコアリング分析を行える。Webベースなので複数ユーザが同時に接続可能 |
「HP Application Security Center」4製品のイメージ。エンジンとなる「SecureData」には脆弱性情報のほか、20以上の法規制に対応したコンプライアンスレポートのテンプレートなども含まれる |
米Hewlett-Packard HPソフトウェア アプリケーションディビジョン バイスプレジデント兼ゼネラルマネージャ ジョナサン・レンデ氏。「Webアプリケーションのセキュリティは、セキュリティエンジニアだけでなく、そのアプリケーションに関わる人すべてが責任をもつ必要がある」という |
米Hewlett-PackardのHPソフトウェア アプリケーションディビジョン バイスプレジデント兼ゼネラルマネージャ ジョナサン・レンデ氏は「Webアプリケーションは今やビジネスそのもの、ビジネスにとっての"血液"ともいえる。したがって、ひとたび障害が発生すればそのリスクも大きい。また、複雑に各システムが絡み合っているため、障害のポイントを見つけるのが困難」と語り、だからこそ「品質管理」が重要になってくるという。「これからは品質の3本柱として"機能"、"性能"、そして"セキュリティ"が求められることになる。企業はWebアプリケーションのリリース前に、可能な限りのリスク対策を取る必要がある」とする。
「Webアプリケーションのセキュリティ市場は、皆がいま、その重要性に気づいたばかり、いわば覚醒の状態にある」とレンデ氏。同社今後、SaaSによる展開なども視野に入れている。高い市場成長率が期待されているこの分野で、パートナー強化、他のBTOポートフォリオやセキュリティソリューションとの共同展開などを図り、市場のトップベンダに躍り出ることを狙う。