Rational AppScan Source Editionのご紹介 IBM Software Group © 2010 IBM Corporation ®
by user
Comments
Transcript
Rational AppScan Source Editionのご紹介 IBM Software Group © 2010 IBM Corporation ®
® IBM Software Group Rational AppScan Source Editionのご紹介 © 2010 IBM Corporation IBM Software Group | Rational software Rationalセキュリティ検証 テクノロジー Combination Delivers a Comprehensive Solution 静的コード 静的コード解析 コード解析 = ホワイトボックス セキュリティ セキュリティ関連 セキュリティ関連の 関連のソースコード検証 ソースコード検証 開発 開発の 開発の早期段階で 早期段階で、脆弱性の 脆弱性の検証・ 検証・ 潜在的リスク 潜在的リスク回避 リスク回避 動的解析 = ブラックボックス コンパイル コンパイルされた コンパイルされたアプリケーション されたアプリケーションの アプリケーションのセ キュリティ検証 キュリティ検証 Total Potential Security Issues 静的解析 AppScan Source Edition Best Coverage 動的解析 AppScan Standard 実行 実行アプリケーション 実行アプリケーションに アプリケーションに対して安全 して安全に 安全に 検証実行 2 IBM Software Group | Rational software プログラムに起因する脆弱性 Web Webアプリケーション Webアプリケーションは アプリケーションは個別の 個別の要件に 要件に応じて、 じて、自社で 自社で開発されることがあります 開発されることがあります。 されることがあります。これまでの自社開発 これまでの自社開発アプリ 自社開発アプリ ケーションは ケーションはクローズドな クローズドな通信手段/ 通信手段/環境により 環境により保護 により保護されてきましたが 保護されてきましたが、 されてきましたが、 Webアプリケーション Webアプリケーションとして アプリケーションとしてインターネット としてインターネット を通じて提供 じて提供する する場合 場合、 、 オープンな オープン な 通信手段と 通信手段 と 世界中からの 世界中 からの攻撃 攻撃の の 脅威にさらされることになり 脅威 にさらされることになり、 従来ではパッ 提供する場合 からの攻撃 にさらされることになり、従来では ではパッ ケージソフトに ケージソフトに求められたような、 められたような、よりセキュア よりセキュアな セキュアなプログラム開発 プログラム開発が 開発が求められます。 められます。 パッケージソフトウェア パッケージソフトメーカーが開発 ユーザーがパッケージとして購入し、社内/ 社外の利用者に提供。利用には専用クライ アントが必要 専業プログラマが製品として開発。保守 多数の利用者からのフィードバック 定期的なバージョンアップを通じての機能追 加とバグ解決 自社開発のWebアプリケーション 個々の業務にあわせて、自社で独自開発 インターネット等を通じて様々な利用者に 提供。利用者はブラウザを通じてアクセスする。 自社または委託プログラマがプロジェクトとし て開発・保守が必要 保守やバージョンアップについては、運用側 の体制・能力に依存 パッケージソフトウェアのみを パッケージソフトウェアのみを利用 のみを利用する 利用する場合 する場合、 場合、製品 ベンダーの ベンダーのセキュリティ情報 セキュリティ情報をもとに 情報をもとに対策 をもとに対策を 対策を行う。 -脆弱性情報 脆弱性情報は 脆弱性情報はベンダーが ベンダーが管理・ 管理・提供 -修正方法 修正方法・ 修正方法・プログラムは プログラムはベンダーにより ベンダーにより提供 により提供される 提供される -修正 修正プログラム プログラムの の 基本的な 基本的 な 検証は 検証 は ベンダー 修正プログラム が実施 自社開発の 自社開発のWebアプリケーション アプリケーションを 利用する場合 アプリケーションを利用する する場合、 場合、 使用している 使用しているパッケージソフトウェア しているパッケージソフトウェアの パッケージソフトウェアのセキュリティ 情報は 情報は自社の 自社の責任で 責任で行わなければならない。 わなければならない。 -脆弱性情報 脆弱性情報は 脆弱性情報は自社で 自社で管理する 管理する必要 する必要がある 必要がある。 がある。 -修正方法 修正方法・ 修正方法・プログラムは プログラムは自社で 自社で作成する 作成する -修正 修正プログラム 修正プログラムの プログラムの動作検証は 動作検証は基本動作を 基本動作を含め 全て自社で 自社で実施する 実施する Webアプリケーション アプリケーションでは アプリケーションでは、 では、だれからもアクセス だれからもアクセスでき アクセスでき、 でき、インターネット全体 インターネット全体(世界中 全体 世界中) 世界中)から攻撃 から攻撃を 攻撃を受ける可能性 ける可能性があるため 可能性があるため、 があるため、 従来では 従来ではパッケージソフトウェア ではパッケージソフトウェアで パッケージソフトウェアで求められてきたようなプログラム められてきたようなプログラム品質 プログラム品質を 品質を、自社で 自社で開発・ 開発・保守する 保守する必要 する必要があります 必要があります。 があります。 3 IBM Software Group | Rational software 発見できる脆弱性、検証できる代表的な問題 OWASP 2010 Top10より A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards PCI DSS 要件 6:「安全性の高いシステムとアプリケーションを開発 し、保守すること」より 6.5.1 クロスサイトスクリプティング(XSS) 6.5.2 インジェクションの不具合(特にSQLインジェク ション)LDAPとXpathのインジェクションの不具合、 その他のインジェクションの不具合も考慮する。 6.5.4 安全でないオブジェクトの直接参照 6.5.5 クロスサイトリクエスト偽造 6.5.6 情報漏洩と不適切なエラー処理 6.5.7 不完全な認証管理とセッション管理 6.5.8 安全でない暗号化保存 6.5.9 安全でない通信 6.5.10 URLアクセスの制限失敗 4 IBM Software Group | Rational software Rational AppScan Source Editionの特徴 1/3 開発のライフサイクルに統合したホワイトボックス セキュリティ テスト ツール 開発の 開発の初期(コーディング 初期 コーディング) コーディング 段階から 段階から利用 から利用による 利用による問題 による問題の 問題の早期発見と 早期発見と手戻りの 手戻りの防止 りの防止 セキュリティ担当者 セキュリティ担当者、 担当者、開発者、 開発者、ビルド担当者 ビルド担当者などの 担当者などのニーズ などのニーズに ニーズに応じた機能 じた機能 問題切り トリアージ) 問題切り分け(トリアージ トリアージ と、問題解決の 問題解決のワークフローを ワークフローをサポート 集中した 集中したルール したルール管理 ルール管理により 管理により、 により、情報の 情報の共有と 共有と、テストの テストの統一性/品質 統一性 品質を 品質を担保 拡張性 オープンな オープンなデータアクセス API 統合開発環境( )にアドオン可能 統合開発環境(IDE) アドオン可能 Development Rational AppScan Source Ed for Developer or for Remediation トラッキング、 トラッキング、障害管理ツール 障害管理ツールとの ツールとの連携 との連携 コードカバレージの コードカバレージの確保 ホワイトボックステストと ホワイトボックステストとブラックボックス テストの テストの融合 Rational AppScan Source Ed Core Build Rational AppScan Source for Automation Security Rational AppScan Source Ed for Security 5 IBM Software Group | Rational software Rational AppScan Source Editionの特徴 2/3 セキュリティー検査 セキュリティー検査の 検査の早期実施 AppScan Source Edition は、ソースコードを ソースコードを解析する 解析する静的検査 する静的検査を 静的検査を実施するため 実施するため、 するため、検 査会社による 査会社による脆弱性検査 による脆弱性検査や 脆弱性検査や、動的検査を 動的検査を実施する 実施する Standard Edition に比べて、 べて、よ り開発段階の 開発段階の早期に 早期に問題を 問題を発見可能です 発見可能です。 です。問題点を 問題点を開発段階の 開発段階の早期に 早期に発見する 発見する ことは、 ことは、開発の 開発の手戻りを 手戻りを回避 りを回避し 回避し、再テストの テストの実施による 実施による予期 による予期せぬ 予期せぬ開発 せぬ開発 スケジュール の遅延や 遅延や開発コスト 開発コストの コストの増大を 増大を防止できます 防止できます。 できます。 6 IBM Software Group | Rational software Rational AppScan Source Editionの特徴 3/3 検査カバレージ 検査カバレージの カバレージの確保 AppScan AppScan Source Edition は、ソースコードを ソースコードを検査する 検査する静的検査 する静的検査を 静的検査を行います。 います。静的検査 は、動的検査では 動的検査では難 では難しい検査 しい検査の 検査のカバレージを カバレージを確保できます 確保できます。 できます。動的検査では 動的検査では、 では、実施に 実施にア プリケーション を動作させて 動作させて検査 させて検査するため 検査するため、 するため、エラーケースなど エラーケースなどアプリケーション などアプリケーションの アプリケーションの実行 されなかった部分 されなかった部分は 部分は、検査ができません 検査ができません。 ができません。静的検査であれば 静的検査であれば、 であれば、すべてのソースコード すべてのソースコード を網羅することができるので 網羅することができるので、 することができるので、検査漏れの 検査漏れの心配 れの心配がありません 心配がありません。 がありません。 7 IBM Software Group | Rational software AppScan Source Edition ワークフロー AppScan Reporting Console Configure ソースコードを ソースコードを検証します 検証します。 します。 検証結果に 検証結果に対して、 して、問題の 問題の分類・ 分類・ 仕分け 仕分け(トリアージ) トリアージ)を行います。 います。 AppScan Source for Security, Developer or Automation AppScan Source for Security コンフィグレーションウィザードを コンフィグレーションウィザードを 使用して 使用して検証 して検証( 検証(スキャン) スキャン)構成を 構成を セットします セットします。 します。 Scan Publish Triage AppScan Source for Security 割り当てられた問題 てられた問題に 問題に関して、 して、改 修作業を 修作業を行います。 います。 AppScan Source for Security or Developer (Remediation) Remediate Assign トリアージされた トリアージされた問題 された問題を 問題を改修担当 者へ割り当て または トラッキン グシステムへ グシステムへ登録します 登録します。 します。 AppScan Source for Security 8 IBM Software Group | Rational software 検出結果の分析(トリアージ機能の必要性) 一般にソースコードレビューツールでは大量の脆弱性の可能性のあるポイントが検出されます。 検証者は、それらが明らかな脆弱性なのか、更なる解析が必要な脆弱性か判断する作業に膨 大な時間が必要となります。 トリアージにより トリアージにより優先付 により優先付け 優先付け された脆弱性 された脆弱性の 脆弱性の数 高評価 だけでも92 もある 上記のサンプルではTotal Total: 114件の検 Total:114件 証結果が表示されています。これらを全 て調査し、改修するのは限られた時間 の中では極めて困難です。 AppScan SourceEditionのトリアージ 機能により、検出された脆弱性について 対応の優先順位 優先順位を ツールにより選定 優先順位をツールにより により選定す 選定す ることにより、効率の良い改修作業を実 施することが可能となります。 検出された 検出された 脆弱性の 脆弱性の 総数 9 IBM Software Group | Rational software 検出結果の修正 コールフローをグラフ化 影響する箇所の追跡が容易 問題箇所のソースを表示 修復支援表示 脆弱性と判断した根拠や修正方法 を支援します 10 IBM Software Group | Rational software 検出結果のレポート PCI-DSS、OWASP Top 10 などの コンプライアンス、管理レポートも豊富 レポートに表示する内容の選択が可能 開発者向けのレポートを作成し、修正の 効率向上 検証サマリ レポート API別の検出レポート PCIDSS レポート ファイル別の検出レポート 11 IBM Software Group | Rational software AppScan Source Editionコンポーネント 必須コンポーネント データベース オプションコンポーネント AppScan Source Edition for Core セキュリティナレッジ、アセスメント データベース AppScan Source Edition for Developer AppScan Source Edition for Security AppScan Source Edition for Remediation 開発者インターフェース IDE環境統合用のモジュール ソースコード中の脆弱性箇所 の分析と修正機能 再検証機能をそなえる 開発者インターフェース IDE環境統合用のモジュール ソースコード中の脆弱性箇所 の分析と修正機能 再検証機能は含まれない IDE(RAD、Eclipse、Visual Studio) IDE(RAD、Eclipse、Visual Studio) AppScan Source Edition for Automation サーバコンポーネント ビルド環境との統合(自動化) Rational BuildForge Ant、Maven セキュリティ担当者インターフェース セキュリティポリシーや検証ルールの作 成とソースコードの検証の実施 12 IBM Software Group | Rational software システム要件 (2010年12月現在) 対応OS Microsoft Windows 7 Professional, Enterprise & Ultimate 32 and 64-bit (in 32-bit mode) Microsoft Windows XP Professional (SP2, and higher) Microsoft Windows Server 2003 Enterprise (SP2, and higher) Microsoft Windows Server 2008 Enterprise Microsoft Windows Server 2008 R2 Enterprise (in 32-bit mode) RedHat Enterprise Linux 4.0 workstation & server RedHat Enterprise Linux 5.0 Workstation & Server 32 and 64-bit (in 32-bit mode) Solaris 9 (IBM Rational AppScan Source Edition for Automation only) Solaris 10 (IBM Rational AppScan Source Edition for Automation only) 対象ソフトウェア Project Files: Visual Studio .NET 2003, Visual Studio 2005, Visual Studio 2008, WebSphere Studio, Application Developer 5.1, Eclipse 3.1, 3.2, 3.3, 3.4, 3.5 and 3.6, IBM Rational Application Developer V6.0, V7.0 and V7.5 Compilers: GNU compiler Collection (gcc) for Linux, Microsoft Visual Studio 6.0 (V6), Visual Studio.NET (V7, Visual Studio .NET 2003 (V7.1), Visual Studio 2005 (V8) for Windows, Visual Studio 2008, Sun Studio C and C++ Compilers for Linux and Solaris Language Support: Java™, ClientSide JavaScript, JSP, ColdFusion, C, C++, .NET (C#, ASP.NET, and VB.NET), Classic ASP, (JavaScript/VBScript), PHP, Perl, VisualBasic 6 IDE support: Eclipse versions 3.3, 3.4, 3.5 and 3.6; IBM Rational Application Developer V7.0 and V7.5; Visual Studio .NET 2003, 2005, and 2008 推奨ハードウェア Processor: Intel Pentium P4, 3.0 GHz or faster Memory: 2 GB RAM minimum Disk Space: 1.5 GB (2 GB required for installation) Network: 1 NIC 10 Mbps for network communication with configured TCP/IP (100 Mbps recommended) Drives: CD-ROM or DVD-ROM drive 13 IBM Software Group | Rational software Learn more at: IBM Rational software IBM Rational Software Delivery Platform Process and portfolio management Change and release management Quality management Architecture management Rational trial downloads Leading Innovation Web site developerWorks Rational IBM Rational TV IBM Business Partners IBM Rational Case Studies © Copyright IBM Corporation 2008. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, Rational, the Rational logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. 14