あらゆる市場においてデジタル変革が急速にすすんでいく中、IoT、クラウド、スマホ、AR/VR、AI やエッジコンピュータといった新技術が開発、投⼊されることにより、ソフトウェア開発や管理の複雑性は増⼤しています。また、新しいソフトウェアを短期間で開発し、ビジネスの変化に応じて、開発されたソフトウェアを迅速に変更していく必要も高まっています。一方で、開発されたソフトウェアのチェックをする過程では、様々な課題が明らかになってきました。

contrast-fig1.png

アプリケーションのDevelopment(開発) とOperations(運用)にセキュリティの要素も取り込む「DevSecOps」というコンセプトがますます重要になってきています。Contrast製品は、この「DevSecOps」の推進を強力にサポートします。

contrast-fig2.png

製品概要

Contrastは、「DevSecOps」におけるセキュリティの課題を、新たなアプリケーションセキュリティ技術基盤により解決します。インテリジェントなContrastエージェントがコードに組み込まれ、スマートセンサーが展開前に脆弱性を検出して修正し、動作中のアプリケーションを保護します。このように、Contrastのインテリジェントセンサーは、従来型のセキュリティツールでは不可能であった、個々のアプリケーションを保護することができます。

Contrastは以下の2製品で構成されます。個々の製品を選択することが可能です。

Contrast Assess(IAST)

ソフトウェアの脆弱性検査を行うセキュリティ・テスト・ソリューションで、IASTと呼ばれる脆弱性検査機能を提供します。アプリケーションサーバに検査用のエージェントを組み込み、アプリケーションの挙動を監視しながら脆弱性の検出を行います。スキャンという概念がなく、アプリケーションを操作してゆく中で検出が始まるため、自動化されたその他のテストと組み合わせることで、継続的な脆弱性検査が可能となります。

また、アプリケーションで利用しているOSSなどサードパーティーコンポーネントの種類やバージョンを識別でき、脆弱性情報データベースと組み合わせ、利用中のコンポーネントの既知の脆弱性を自動的に検出することが可能です。

IAST機能のほか、ソフトウェア構成分析、コンフィグレーション分析機能も有しています。

Contrast Protect(RASP)

稼働中のウェブアプリケーションへの攻撃をリアルタイムに検知し、自己防御を行うランタイム・ソリューションです。ライブラリやサーバソフトウェアの脆弱性に対して、パッチを当てる前に自動的にアプリケーションの保護を行うことができます。

特長

Point.1 機能が凝縮されたプラットフォーム

Contrastは、様々な脆弱性検査機能と攻撃防御機能をもっています。Contrastプラットフォームをご利用いただくことで、開発から運用までの、一貫したアプリケーションセキュリティ対策をとることが可能です。

contrast-fig3.png

Point.2 容易な展開

Contrast Assessには、各アプリケーションサーバにインストールされるエージェントと、エージェントによって特定された脆弱性を収集、分析、報告し、展開を

制御するための集中管理サーバが含まれます。 ビルド・テスト・デプロイ・サイクル、ソフトウェア・スタック、またはランタイム環境を変更する必要はありません。

contrast-fig4.png

Point.3 パッシブセンサーによる分析

パッシブセンサーにより、アプリケーションに関する情報へのアクセスが増え、脆弱性を識別する際に前例のないレベルの速度と正確さが実現されます。

contrast-fig5.png

Point.4 継続的な安全確保が可能です

バックグラウンドで動作するため、セキュリティテストの必要がありません。アプリケーションと並行して動作するため、設定も不要です。
セキュリティデータのモニタリングを実施します。

contrast-fig6.png

Point.5 既存ツールとの連携

APIが提供されているため、検出した脆弱性をSlack、JIRA等の開発ツールを利用して、通知することが可能です。

contrast-fig7.png

※図は、Contrast Security, Inc.提供

料金

個別見積り

参考:年額利用料 250万~500万円/アプリケーション