導入活用レポートPDFをダウンロード（590KB） SRAでは、社内で蓄積したセキュリティチェックやFORTIFYの使用ノウハウを、お客様サイトの脆弱性チェックに活用。今後、SRAの新しいソリューションとして拡大展開を目指す。 今井：「ある大手製造業の方から、開発中のECサイトの脆弱性のチェックをしてほしいという依頼がきたのがきっかけでした。具体的に何をしたかというと、そのサイトの全ソースコードをFORTIFYでチェックし、検出された脆弱性を1つ1つ人の目で見ていったのです。」 平野：「FORTIFYが検出する脆弱性には疑陽性の件数も少なくありません。そのため、FORTIFYのフィルタリング機能、セキュリティや言語の知識が少なからず必要になります。また、この疑陽性が多いという特性は、セキュリティリスクを考える上では、安全側に倒したチェックをすることが非常に重要になり、疑わしいものは全て報告すると言う点で検査をより厳しいものにしているわけですから、開発者にとっては良いことだと考えます。」 今井：「実際に脅威となる脆弱性の絞り込みには少々苦労しましたが、そのかいあってクリティカルな脆弱性もいくつか発見することができました。やはり、お客様に対して脆弱性診断サービスの提供という意味で、大量のソースコードを網羅的にチェックする場合に、抜けやもれがないところが、FORTIFYの大きな強みと言えるでしょう。もちろん、SRA独自の技術ノウハウもサービスに付加価値を付ける重要なポイントですが。」 今井：「このように、FORTIFYが検出した脆弱性の中から実際の脅威となるものを絞り込むための基準を作るとより効率が上がると思います。量が多ければどうしても時間がかかってしまいますから。」 平野：「スクラッチ開発なのか追加開発なのか、基幹系の業務に使用するのかそうでないのか、業務系なのか制御系なのか、インターネット上に公開するのかイントラで使用するのかなどによって、どのような脆弱性を重視すべきかが変わってきます。そのドメインにおける脆弱性を分析して、効率よく絞り込むための評価基準のようなものを作っていくことが必要だと思います。統計的な手法なども利用するとよいですね。」 今井：「そのような統計手法による分析のためにも、これまで以上に社内のプロジェクトにどんどんFORTIFYを導入してデータをためていく予定です。できるだけ多様なプロジェクトからデータを取得し、さまざまなパターンに対応でき得るノウハウを蓄積していきたいと思います。」 本レポートに記載された情報は初掲載当時のものであり、閲覧される時点では変更されている可能性があることをご了承ください。 Copyright© Software Research Associates, Inc. All Rights Reserved.