アジャイル開発/DevOpsに対応した脆弱性診断・
保護ソリューション Contrast Security
「DevOps」から
「DevSecOps」へ
セキュアで高速な開発ライフサイクルを実現
開発ライフサイクルに検査機能を統合し、
運用フェーズのセキュリティ対策まで担保。
DevOpsの現場で、
セキュリティ対策の課題に
直面していませんか?
-
ビジネス機会の損失
最終段階のセキュリティ
テストで見つかる
膨大な修正
対応によるリリース遅延 -
危険な情報漏洩
開発過程で見落とした
脆弱性を突いた
悪質なサイバー攻撃の脅威
ContrastをDevOpsに活用することで、
開発・運用スピードを妨げず、
高いセキュリティを担保。
オンラインビジネスの要となる
「DevSecOps」を推進します。
・バックグラウンドで動作するため、セキュリティテストが不要
・アプリケーションと並行して動作するため、設定も不要
・セキュリティデータのモニタリングを実施
DevOpsの課題を解決に導く
今注目の開発ライフサイクル
「DevSecOps」とは?
DevOpsにセキュリティプロセスを組み込み
開発スピードとセキュリティを両立
Webアプリケーションの開発ライフサイクルにセキュリティ対策ツールを組み込むことで、開発スピードを落とさず、
セキュリティ対策を定着させる開発ライフサイクルに多くの企業がシフトしようとしています。
某米国調査機関の発表では、2021年に高速開発チームの80%がDevSecOpsを取り入れると発表されています。
アジャイル開発/DevOpsに対応した
脆弱性診断・保護ソリューション
Contrast Security
DevSecOpsに関する対策が
詳しく分かる。
「DevDecOps」はなぜ必要か?具体的にどのような対応方法があるのか?
市場には出回っていない「DevCecOps」についての情報や具体策をご提供いたします。
これから広がっていくコンセプトです。
「DevDecOps」が必要な理由や
具体的な対応方法など
市場には出回っていない情報や具体策をご提供します。
電話によるご相談/ご質問
03-6706-0500
DevSecOpsに関するご相談、ご不明点、
ご要望などお気軽にお問い合わせください。
専門スタッフが対応いたします。
ご存知ですか?
ソフトウェアの脆弱性は標的対象
とされています。
DevOpsの各現場で起きている
「セキュリティテストの実態」
-
開発段階
開発側でセキュリティチェックも
実施したいが、専門知識が
不足しているため実行できない -
テスト工程
セキュリティテストの工数が増加し、
チーム全体がマンパワー不足 -
リリース直前
複数のテストツールを使っているが、
判定結果をそのまま信じてよいのか?
その精度が不安 -
テスト工程
開発と監査のスピード感が合わず、
数回のリリース分を
まとめざるをえない
高速な開発スピードに
セキュリティ対策が追いつかず、
リリース遅延による機会損失や
サイバー攻撃の脅威
がつきまとっています。
DevSecOpsを取り入れることで
多くの企業が
脆弱性にかかる
修正日数の短縮化に成功
1アプリに必要なセキュリティコスト
ライセンス費用およびプログラム管理
セキュリティ:アセット格付けレポート
エンジニアリング:コードFix-テスト-再展開
※ContrastSecurity社 調べ
DevSecOpsを加速するなら
Contrast Security
DevSecOpsソリューションの
リーディングカンパニー Contrast
ー 評価・受賞歴 ー
-
アジャイル/DevOps首位
サイバー攻撃からアプリケーション
を守るセキュリティ技術の
世界有数のプロバイダー -
グローバル金融
トップ5社が評価グローバル金融トップ5社が
セキュリティ対応の精度、
脆弱性対応を評価 -
特許取得済み
ディープ・セキュリティ
監視機能で
ソフトウェアの
セルフ・プロテクティングを確立
※ContrastSecurity社 調べ
Contrast Security
導入メリット
Contrast Securityなら、開発(Development)と
運用(Operations)を密接に連携させ、
迅速かつ頻繁にソフトウェアを開発する手法
「DevOps」にセキュリティを融合させた
「DevSecOps」を
効果的に加速することができます。
-
MERIT 01
連続性
修正・手戻りが減少し、
セキュリティテストの
工程を削減 -
MERIT 02
正確性
専門知識不要で、
セキュリティチェックの
シフトレフトに対応 -
MERIT 03
自動化
SDLCと連携し、
安全にDevOpsを加速 -
MERIT 04
拡張性
数多くのアプリケーション・
クラウドに対応し、
安全に開発
アジャイル開発/DevOpsに対応した
脆弱性診断・保護ソリューション
Contrast Security
DevSecOpsに関する対策が
詳しく分かる。
「DevDecOps」はなぜ必要か?具体的にどのような対応方法があるのか?
市場には出回っていない「DevCecOps」についての情報や具体策をご提供いたします。
これから広がっていくコンセプトです。
「DevDecOps」が必要な理由や
具体的な対応方法など
市場には出回っていない情報や具体策をご提供します。
電話によるご相談/ご質問
03-6706-0500
DevSecOpsに関するご相談、ご不明点、
ご要望などお気軽にお問い合わせください。
専門スタッフが対応いたします。
DevOpsの速度で
脆弱性を特定
-
脆弱性評価機能
DevOpsの脆弱性の識別
セキュリティ専門家を必要とせずに
脆弱性を見つけて、修正が行えます。 -
リアルタイム分析
正確な診断結果
エージェントを配置して正確な診断を
実行。誤検知も最小限に抑制します。 -
ライブラリのバージョン管理
自動リスク検出
サードパーティのコードライブラリの
検出・リスクを自動で発見します。 -
システム連携
セキュリティの簡素化と統合
Chatやチケット発行システム、
CI/CD
ツールとの統合ができます。
拡張可能な防御
-
アクティビティ監視
不審な動きを監視
アプリケーションの中のログおよび
セキュリティイベントの監視。 -
アプリケーション監視
継続的な攻撃の監視
アプリケーションのパフォーマンスを
監視し、継続的な攻撃を検知。 -
攻撃防御
ライブラリー防御,バーチャルパッチ,
ランタイム・エクスプロイト攻撃防御必要な攻撃のみブロック
ゼロデイ攻撃には即時パッチで防御 -
常時監視
安全な開発環境を構築
全ての安全なアプリケーションに
グローバル金融トップ5社の評価
アプリケーション セキュリティツール比較
Contrast
他社ツール
セキュリティ対応
精度
脆弱性対応
平均スキャン時間
市場投入の利点
努力が必要
インストール時間
読み出し時間
ソフトウェア開発
ライフサイクル(SDLC)
全てで活用できる単一画面
主な機能
インタラクティブ分析(IAST)
静的分析(SAST)
動的分析(DAST)
ソフトウェア構成分析
コンフィグレーション分析
アプリケーション インベントリー
主な機能
手動攻撃ブロック
自動攻撃ブロック
ボット ブロック
ライブラリ/共通脆弱識別子(CVE)遮蔽
仮想パッチ
ログ保存強化
- 脆弱性評価
- オープン
ソース
セキュリティ - アプリ
ケーション
管理 - 攻撃防御
・開発から運用までの、一貫したアプリケーションセキュリティ対策が可能
・従来型のセキュリティツールでは不可能であった、個々のアプリケーションを保護
Contrastは以下の2製品で構成されます。
個々の製品を選択することも可能です。
Contrast Assess
Contrast Assess
アプリケーションサーバに検査用のエージェントを組み込み、アプリケーションの挙動を監視しながら脆弱性を検出。スキャンという概念がなく、アプリケーションを操作していく中で検出が始まるため、自動化されたその他のテストと組み合わせ、継続的な脆弱性検査を実現させます。
また、アプリケーションで利用しているOSSなど、サードパーティーコンポーネントの種類やバージョンを識別でき、脆弱性情報データベースと組み合わせることで、
利用中のコンポーネントの既知の脆弱性を自動検出することが可能です。
Contrast Protect
Contrast Protect
稼働中のウェブアプリケーションへの攻撃をリアルタイムに検知し、自己防御を行うランタイム・ソリューションです。アプリケーションサーバにて監視用エージェントを稼働させ、アプリケーションレベルで不正アクセスをブロックします。
ライブラリやサーバソフトウェアの脆弱性に対して、
パッチを当てる前に自動的にアプリケーションの保護を行うことができます。
容易な展開
-
STEP01
Contrastエージェントをアプリケーション・サーバに追加
-
STEP02
Contrastエージェント実装済アプリ実行
-
STEP03
エージェントによりSaaS
または
オンプレミス・プラットフォームに報告 -
STEP04
結果取得先:
・ユーザーインターフェース
・Eメール ・REST API
・接続先アプリ
(e.g., Jira, Slack, SIEMなど)
Contrast Assessには、各アプリケーションサーバにインストールされるエージェントと、エージェントによって特定された脆弱性を収集、分析、報告し、展開を制御するための集中管理サーバが含まれます。
ビルド・テスト・デプロイ・サイクル、ソフトウェア・スタック、またはランタイム環境を変更する必要はありません。
DevOpsに欠かせない
既存ツールとの連携
APIが提供されているため、検出した脆弱性を
Slack、JIRA等の開発ツールを利用して、通知することが可能です。
アジャイル開発/DevOpsに対応した
脆弱性診断・保護ソリューション
Contrast Security
セキュアで高速な
開発ライフサイクルを実現
開発ライフサイクルに検査機能を統合し、
運用フェーズのセキュリティ対策まで担保。
「DevOps」から「DevSecOps」へ
電話によるご相談/ご質問
03-6706-0500
DevSecOpsに関するご相談、ご不明点、
ご要望などお気軽にお問い合わせください。
専門スタッフが対応いたします。
DevSecOpsの推進なら、
NRIセキュアテクノロジーズ
私たちがDevSecOpsに強い
3つの理由
-
最新のサイバー攻撃に対する知見と
DevSecOps専門部隊による支援NRI(野村総合研究所)グループにおける情報セキュリティ専門の中核企業として独自調査・分析活動の結果を広く公開。
NRIセキュアでは、DevSecOpsのスペシャリストがDevOpsにセキュリティを融合させたDevSecOpsの実現をセキュリティ設計・開発プロセスのコンサルティングや、ツールの選定・導入支援など様々な面から支援いたします。
-
NRIセキュアは
Contrast Securityの一次販売代理店NRIセキュアグループが持つ国内のDevSecOpsにおける豊富な事例や知見を評価され、米国市場でトップクラスのContrast社から一次代理店の認定を受けています。DevSecOps分野で実績豊富なNRIセキュアグループのUBセキュアが販売・導入支援を実施しております。
-
独自開発の脆弱性検査ツール「Vex」から
得たセキュリティテストの活用ノウハウ数千サイトに及ぶ診断実績に基づくフィードバックを反映したWebアプリケーション脆弱性検査ツール「Vex」から得られたセキュリティテストの知見をもとにUBセキュアがDevSecOpsの推進を強力にサポートいたします。
アジャイル開発/DevOpsに対応した
脆弱性診断・保護ソリューション
Contrast Security
セキュアで高速な
開発ライフサイクルを実現
開発ライフサイクルに検査機能を統合し、
運用フェーズのセキュリティ対策まで担保。
「DevOps」から「DevSecOps」へ
電話によるご相談/ご質問
03-6706-0500
DevSecOpsに関するご相談、ご不明点、
ご要望などお気軽にお問い合わせください。
専門スタッフが対応いたします。
導入フロー
| ステップ | お客様 | 弊社 |
|---|---|---|
| 01 | お申し込み | - |
| 02 | Contrast製品の 導入環境の準備 |
ライセンス発行 |
| 03 | 弊社コンサルタントと設定の認識合わせ | |
| 04 | Contrast製品の インストール |
Contrast製品の 設定投入 |
| 05 | Contrast製品の 運用開始 |
Contrast製品の お引き渡し |
よくある質問
-
Q.1 手軽に試せる体験版はありますか?
手軽な体験版であれば、”CONTRAST COMMUNITY EDITION FOR JAVA”をすぐにご利用頂くことができます。下記URLでアカウント登録をして頂ければご利用可能です。
https://www.contrastsecurity.com/contrast-community-edition
※ただし、javaのみ利用可能で、一部機能に制限があります。
※ご利用中のお問合せはできません。 -
Q.2 トライアルは対応可能ですか?
対応可能です。手順としては、事前にトライアルにあたってのヒアリングシートをContrast Security社にご提出頂き、かつ、トライアルライセンス発行のお申込みを頂くことにより期間限定でトライアルが可能です。
-
Q.3 すでに利用しているテストツール
との併用は可能ですか?既にSASTやDASTを導入されている場合でも、併用頂くことによってセキュリティテストの効率化や脆弱性の検知精度などに、より高い効果を発揮することができます。
-
Q.4 対応している言語やツールは
何がありますか?現時点でJava、.NET、NODE.JS、RUBYに対応しています。
今後、順次対応言語を増やしていく予定です。
アジャイル開発/DevOpsに対応した
脆弱性診断・保護ソリューション
Contrast Security
セキュアで高速な
開発ライフサイクルを実現
開発ライフサイクルに検査機能を統合し、
運用フェーズのセキュリティ対策まで担保。
「DevOps」から「DevSecOps」へ
電話によるご相談/ご質問
03-6706-0500
DevSecOpsに関するご相談、ご不明点、
ご要望などお気軽にお問い合わせください。
専門スタッフが対応いたします。
