製品概要

迅速な事業展開の中で、その一端を担うウェブアプリケーションの開発サイクル短縮が求められています。その一方で、不十分なセキュリティ対策による事故のリスクが増大しています。セキュリティ事故防止のためのウェブアプリケーションのセキュリティ対策には、以下のような課題があります。

Contrast Securityコードセキュリティプラットフォームは、開発フェーズから本番運用フェーズまでのソフトウェア開発ライフサイクル全体でセキュリティ対策を行う以下の製品で構成されます。これにより、包括的にウェブアプリケーションのセキュリティ診断・防御を行うことで、セキュリティ対策に必要な開発者のリソースを削減することができ、リリースサイクル短縮や開発コスト削減につながります。

特長

Contrast Securityコードセキュリティプラットフォームは、エージェントをウェブアプリケーションに組み込むことで、通常のテスト中に、高精度で脆弱性を自動的に検出し、日本語による指摘を行います。さらに、本番運用環境では振る舞い検知による検知・ブロックが可能です。

開発～テストフェーズ

オープンソースコード診断ツールContrast SCAによって、アプリケーションの実行時に実際にサーバ内部でどのライブラリが使用されているかを直接収集します。また、オープンソースコードの脆弱性による影響の把握だけでなく、ライブラリの依存関係などの棚卸、バージョン管理が行えます。
インタラクティブ分析による脆弱性検査ツール（IAST）であるContrast Assessにより、アプリケーションのUI試験を通じてリアルタイム検出を行い、アプリケーションとAPIに潜む脆弱性を自動的に特定します。さらに、開発者が理解しやすい平易な日本語で脆弱性の説明と修正方法を提示します。
サーバーレス環境では脆弱性対策ツールContrast Serverlessで、AWS Lambda環境におけるランタイム保護を行い、クラウドネイティブアプリの内部からほぼリアルタイムの脆弱性検知が可能となります。

本番運用フェーズ

ランタイムアプリケーション自己保護（RASP）による脆弱性の検知と防御を行うContrast Protectで、本番運用時のウェブアプリケーションの振る舞いとデータの流れを追跡・解析し、攻撃の検知とブロックを行います。これにより、WAFと比較して高い検知性能と少ない誤検知を実現します。同時に、パターンファイルやシグネチャの更新などがが無いため運用負担が軽減され、未知の脅威に対しても対処できます。

これらのツールにより、開発からテストフェーズにおける、開発者の負担が軽減され、開発スピードの向上が図れます。また、上記のContrast Securityコードセキュリティプラットフォームを構成する製品は個別の導入も可能です。

NECセキュリティが提供するサービス

豊富な知見と実績により、Contrast SecurityコードセキュリティプラットフォームPoC実施、導入の支援を行います。

Contrast Securityコードセキュリティプラットフォーム導入支援

ヒアリングしたアプリケーションのリリースの工程やシステムの構成に基づき、Contrast Security製品の検証実施（PoC）や導入の計画や作業などのサポート、検知した脆弱性と攻撃内容の判断支援・推奨対策の提示を行います。

Contrast Protect／Contrast SCAサポートサービス

Contrast ProtectやContrast SCAの運用において、検知された脆弱性に対する影響に関して、セキュリティエンジニアが解説や助言を行います。
また、Contrastコンソールの操作をセキュリティエンジニアが代行することも可能です。

さらに、Contrast Assess/SCAを補完するために、セキュリティエンジニアによる診断サービスと組み合わせることが効果的です。

また、開発済み・運用中のウェブアプリケーションの脆弱性調査や対策には、セキュリティエンジニアによる診断、対策提案もご検討ください。

導入価格

ライセンス価格についてはお問合せください

ベンダー製品紹介ページ