静的コード解析でセキュリティー専門家と開発者との溝埋める-CHECKMARX

CATEGORY: GENIUS

TAG:

セキュリティー対策のための最大の難問は、セキュリティー専門家とアプリーション開発者の間にある深い溝から生じる軋轢だ。セキュリティー専門家にとってはセキュリティー対策が最優先課題なのは当然だが、一方、納期に追われるアプリケーション開発者にとっての関心事は、プログラムのソースコードをできるだけ手を止めずに書き続けること。ともすれば、この両者の意識のギャップが結果としてハッカーにつけいる隙を与え、ソフトウェアのセキュリティー対策を妨げる要因ともなりうる。この溝を埋めるのがCHECKMARX社が開発した脆弱性静的コード解析ツール「CxSAST」だ。

ソースコード段階でのセキュリティーテストを実現する「CxSAST」

CxSAST はシステム開発のサイクルにセキュリティーテストを統合し、ソフトウェアに潜むリスクを削減する。その仕組みはこうだ。開発者が作成中のプログラムをコンパイル(機械語に変換)する前のソースコード段階でCxSASTが1行1行解析し、SQLインジェクション(データベースを不正操作する攻撃)やクロスサイトスクリプティング(ウェブサイトに悪意のあるデータを埋め込む攻撃)などの脅威を引き起こす恐れのある脆弱性を即座に検知し、開発初期段階での修正を可能にする。解析できるプログラミング言語は、Java、C#.NET、PHP、pythonなど約20種類に及ぶ。アプリケーション開発者はプログラミング作業を中断することなく脆弱性の修正を実施でき、セキュリティー専門家が求める安全性基準を満たすことができる。システム開発サイクルの一環として、開発者に負担をかけずにセキュリティーの強化と開発効率の向上が実現される仕組みだ。また、産業ごとのコンプライアンス方針や規約を盛り込むなど自社独自のルールを組み込むこともできる。
checkmarx_1
ソースコードを直接解析し、画面上で開発者に脆弱性を示唆する
(出典:CHECKMARX公式ページ

信頼性に高評価、政府機関も採用

CxSASTは、 Salesforce.comやSAPなどのソフトウェアベンダーや、世界最大のスマートフォンメーカーであるサムスン電子やコカ・コーラといった有力企業が多数導入するほか、米陸軍などの政府機関にも採用され、信頼性の高さがうかがえる。また、2016年8月からは米国の連邦政府機関で利用される暗合モジュールのセキュリティー要件を定めた「FIPS 140」への対応を開始した。機密性の高いデータが膨大にやりとりされる政府機関の情報セキュリティーを効果的に改善することができる。

開発者向けセキュリティー学習プラットフォームを公開

さらに、2016年9月にはアプリケーション開発者向けに安全性の高いソースコードを書く知識と問題解決スキルを強化するための「AppSec Coach」と呼ぶeラーニングプラットフォームの公開に踏み切った。解析ツールの提供のみならず、教育・啓蒙活動に本格的に踏み込み、アプリケーション開発者のセキュリティースキル底上げを見据えたCHECKMARX社の今後の展開が期待される。

会社概要

会社名 CHECKMARX
CEO Emmanuel Benzaquen
設立年 2006年
拠点 イスラエル
社員数 201-500人規模
事業内容 ソフトウェアの脆弱性解析ツールの開発
主な商品 CxSAST
会社URL https://www.checkmarx.com/
沿革 2006年 創業
2014年12月 米調査会社ガートナーの市場分析「Magic Quadrant」のアプリケーション・セキュリティー・テスティング部門で「チャレンジャー」に認定される。
米調査会社フォレスター社のレポート「Forrester Wave」の2014年第4四半期のアプリケーション・セキュリティー部門で「リーダー」の評価を受ける。
革新的なテクノロジーベンチャー企業上位100社を選定する「Red Herring Top 100 Europe」に選出される。
2015年3月 5年で1286%の突出した成長率でイスラエルの2014年の「最速成長テクノロジー企業」に認定される。
2015年7月 Insight Venture Partnersから8400万ドルの出資を受け入れる。

メンバー紹介

Emmanuel Benzaquen

Emmanuel Benzaquen
CEO
1994年、仏エコール・ポリテクニークでMSEE(電気工学理学修士号)取得後、96年にカリフォルニア大学サンフランシスコ校でMBA取得。ARC International社で戦略的提携マネージャーを務めたほか、X-Ample Technology社シニアコンサルタント、Integrity Systems社執行副社長など、各社でビジネス開発に携わる。『EETimes』『Electronics Weekly』『InfoWeek』など主要業界誌での執筆記事多数。

Maty Siman

Maty Siman
創業者・CTO
CHECKMARX創業以前からITセキュリティーやソースコード分析を手がける。イスラエル首相府にセキュリティー専門家として2年間勤めたほか、イスラエル国防軍(IDF)で6年間過ごし、IDFの情報セキュリティーセンターに開発チームを設立。2003年より、国際的な情報セキュリティー・プロフェッショナルの認証資格であるCISSPを保持。定期的にITセキュリティー会議での講演を行っている。

Alex Roichman

Alex Roichman
チーフ・ソフトウェア・アーキテクト
CxSAST(旧CxSuite)の設計・実装を担当。エンタープライズITソリューション開発での10年以上の経験を持つ。アプリケーションとデータベースセキュリティーを専門とするコンピュータサイエンスの修士号を取得している。マイクロソフト認定ソリューションデベロッパー(MCSD)などの認定資格を保持。

TAG

WRITER

SAKIGAKE編集部

SAKIGAKE編集部

海外のスタートアップ、テクノロジーに関する最新情報を発信していきます。 海外の起業家たちが、何の課題に目を向け、どんなことを仕掛けようとしているのか。 最新技術だけでなく、未来を創ってきた人や、これから未来を創ろうとしている人の生活・人生もご紹介します。
MEDIA |  |