アプリケーションセキュリティ・テストプラットフォーム「DerScanner」
DerScannerは、アプリケーションのセキュリティを強化するための包括的なテストプラットフォームです。一つのインターフェースで、以下の機能をすべての提供します。
- SAST(静的アプリケーションセキュリティテスト)
- DAST(動的アプリケーションセキュリティテスト)
- IAST(インタラクティブアプリケーションセキュリティテスト)
- MAST(モバイルアプリケーションセキュリティテスト)
- バイナリ解析
- SCA(ソフトウェアコンポジション解析)
- SCS(サプライチェーンセキュリティ)
DerScannerを使うことで、ソフトウェアに潜む既知および未知の脆弱性に加え、オープンソースライブラリのコンプライアンス上の問題も検出可能です。
特長
- 総合的に脆弱性にアプローチ
-
DerScannerは、ひとつのプラットフォームに複数のテスト・解析手法をシームレスに統合することで、効率的かつ網羅的な脆弱性検出を可能にします。
- コードが無くても解析可能
- DerScannerは、ソースコードが手元になくても解析が可能なため、サードパーティ製やオープンソースのコンポーネント、レガシーアプリやWeb、モバイルアプリのセキュリティテストにも最適です。
- コンプライアンス対応をサポート
- DerScannerは、AI技術を活用して誤検知を最小限に抑えたうえで、詳細なレポートを提供します。
43言語の解析に対応
ドラッグ&ドロップで解析が可能
DerScannerの解析機能
静的アプリケーション
セキュリティテスト(SAST)
構文解析やデータフロー解析など、多様な手法を使って、ソースコードやバイナリコードを解析し、アプリケーションの脆弱性を検出。SQLインジェクションやクロスサイトスクリプティング(XSS)などの一般的なセキュリティリスクに加え、ハードコードされた機密情報に潜在する脆弱性も特定します。
バイナリ解析
コンパイル済みの実行ファイル(バイナリ)を解析して、脆弱性を特定可能。そのため、ソースコードが手元にない、サードパーティ製ソフトウェアやレガシーアプリケーションに潜むリスクも洗い出すことができます。
動的アプリケーション
セキュリティテスト(DAST)
ペネトレーションテストのように、SASTでは見逃しがちな、アプリケーションの動作時に悪用される可能性のある脆弱性を検出できます。テストモードは、スタンダード、アグレッシブ、アクティブアタックから選択可能。また、JavaScriptを多用した動的なWebアプリケーションの効率的に探索に役立つ、Ajax spider機能(通常のスパイダー機能では見つけにくいJavaScriptで生成されたリンクやコンテンツを、自動的に探索し、アクセス可能なページやインターフェースを網羅的に収集可能)も搭載しています。
インタラクティブアプリケーション
セキュリティテスト(IAST)
SASTとDASTで検出された脆弱性を自動的にクロスチェックし、相互の関連性を分析することで、一方の手法だけでは検出しづらいセキュリティリスクを検出し、より正確な結果を提供します。
ソフトウェアコンポジション解析(SCA)&サプライチェーンセキュリティ(SCS)
ソフトウェア構成を分析することで、使用されているサードパーティ製/オープンソースのコンポーネント情報を可視化し、セキュリティ上およびライセンス上のリスクが潜んでいないかチェックします。また、パッケージの健全性を評価することで、TyposquattingやStarjacking、MavenGate攻撃のようなサプライチェーン攻撃に対するセキュリティ強化を助けます。
DerScannerは自社ノウハウに加え、Github Advisory、GitLab Advisory、Google OSV Database、EPSS(Exploit Prediction Scoring System)、NVD(National Vulnerability Database)の情報を基に、幅広い脆弱性を網羅的かつ正確に検出します。
パッケージの健全性は、以下のような点から評価されます。
- パッケージの人気度は?
- 制作者は信頼できるか?
- コミュニティによるメンテナンスは活発か?
- 基本的なセキュリティ対策がされているか?
- ライブラリの制作日は?
- 最初のバージョン番号が不自然でないか?
- 制作者は他のプロジェクトも行っているか?
- pullリクエストは2人以上承認をパスしているか?
モバイルアプリの脆弱性テストにも最適
AIの力で、誤検知を最小限に
DerScannerは、誤検知(false positive)によるノイズを低減するために、高度なフィルタリングと優先順位設定を可能にする独自のAIエンジン(Confi AI)を使用しています。これにより、検出結果が多すぎて、本当に重要な問題が見逃されてしまうリスクを減らすことができます。特に、複雑なプロジェクトや大量の依存関係を持つプロジェクトにおける、セキュリティチェックで役立つ機能です。
Confi AIの4つのプリセットモード
- Only Trueモード
- 実際に問題となる可能性が非常に高い脆弱性(true positive)のみを表示します。
- Only Importantモード
- 実際に問題となる可能性が必ずしも高くない脆弱性についても、その深刻度を考慮して結果に含めます。
- Dynamicモード
- 悪用される可能性や影響の度合いなどを基にした独自の優先度アプローチを用いて、脆弱性の深刻度ごとに表示の割合を動的に調整できます。
- Customモード
- フィルタリング条件をユーザーが自由に設定し、特定の条件に基づいて脆弱性の表示をカスタマイズできます。
コンプライアンス対応をサポート
柔軟かつ簡単にレポートを作成
DerScannerの解析結果は、OWASP、PCI DSS、HIPAA、CWE/SANS Top 25に対応する形でレポートにまとめることができます。また、レポートに含める内容のカスタマイズも可能です。
SDLCを通じたセキュリティチェックを実現
CI/CDツールとDerScannerを連携させることで、ソフトウェア開発ライフサイクル(SDLC)の早い段階からソースコードのセキュリティチェックを実施し、問題を発見・修正する(シフトレフト)ことができます。
これにより、開発チームとセキュリティチームとの軋轢を減らし、開発の後期に問題が発覚し、リリースが遅れるという事態も避けることができます。
ライセンスプラン
DerScannerには大きく分けて、ニーズに合わせて柔軟にご利用いただけるように、(1)必要な時に必要な分だけ解析を行うためのプランと(2)年間契約のプランの2種類が用意されています。
(1)オンデマンド解析プラン
以下の3つの解析から選択して、最低10回から実施可能です。
- SASTライセンス:
- ソースコードおよびバイナリの静的アプリケーションセキュリティテストに
- DASTライセンス:
- Webアプリの動的アプリケーションセキュリティテストに
- SCAライセンス:
- オープンソースライブラリのソフトウェアコンポジション解析に
条件
- 43言語解析可能
- 1ユーザー単位
- コンプライアンスレポート出力可能
- クラウドベース
- SDLC連携機能なし
(2)パッケージプラン
必要な機能を選択してライセンスを購入することができます。また、複数の機能をご利用いただけるお得なプランも用意されています。詳しくはお問い合わせください。
| Flexライセンス | Enterpriseライセンス | |
|---|---|---|
| SAST & バイナリ解析機能 | ※解析言語:3言語選択 |
※解析言語:43言語 |
| DAST & IAST機能 | オプション | |
| SCA & SCS機能 | オプション | |
| レポート作成 | ||
| SDLC連携 | ||
| 条件 |
ユーザー数:1-5名 スキャン回数:無制限 デプロイ環境:オンプレミス 期間:12か月 |
ユーザー数:無制限 スキャン回数:無制限 デプロイ環境:オンプレミス 期間:12か月 |
お問い合わせ先
phone Tel: 03-3245-1248 mail Email: ss_sales@toyo.co.jp
保守契約について
保守については下記ページをご参照ください。
https://www.toyo.co.jp/ss/contents/detail/support_agreement_drs
テクニカルサポートについて
技術的なご質問に関しては、以下までご連絡ください。
※ サポート受付時間:9:30~17:30(土日、祝日を除く)
お問い合わせ先
phone Tel: 03-3245-1248 mail Email: ss_support@toyo.co.jp
お問い合わせに際してのお願い:
- お問い合わせのE-mailに、次の情報を付加してください。それによって、より早い回答をお届けすることができます。
- ご使用になっているOSの種類とバージョン
- ご使用になっている製品のバージョン
- エラーメッセージが出ている場合は、そのエラーメッセージを正確にお送りください。GUI の場合は、画面をキャプチャした画像ファイルをお送りください。
- 可能な限り、その問題が発生した経緯、再現の手順をお知らせください。