みずほ情報総研は、6月18日より、日本HPの提供するソースコード解析ツール「HP Fortify SCA」を活用し、ソースコードを元にアプリケーションのセキュリティ脆弱性を診断する「ソースコード脆弱性診断サービス」の提供を開始すると発表した。
同サービスでは、顧客先でセキュリティと品質の観点から脆弱性を検査して診断レポートを提示する「オンサイト診断」のほかに、検出された脆弱性について対応の優先順位付けやセキュア開発体制の構築を支援するコンサルティングサービスも用意している。
通常、静的解析ツール自体の導入には、初期導入費用や運用スタッフの人件費など、費用面や管理面などでの負担が大きくかかるが、今回提供する「ソースコード脆弱性診断サービス」の「オンサイト診断」の場合、1診断あたりの価格は95万円(税別)から。解析結果の提供までにかかる時間は約1週間。
対応言語はJava(with Android)、Classic ASP、ASP.NET、VB.NET、C#(.NET)、C/C++、PHP、PL/SQL、Objective-C、ColdFusion CFML、Python、ABAP、ActionScript/MXML、COBOL、T-SQL、JSP、JavaScript/AJAX、Visual Basic、VBScript、HTML、XMLで、iPhoneやandroid向けアプリケーションの解析も可能。
検査項目は、SQLインジェクション、コマンドインジェクション、クロスサイトスクリプティング、Dos攻撃、リソースインジェクション、バッファオーバーフロー、パスの不正操作、クロスサイトリクエストフォージェリ(CSRF)、アクセスコントロール、セッション管理に関する問題、ヘッダーの不正操作、その他の既知の脆弱性。