手軽にセキュリティ上の脆弱性を検査、ユービーセキュアの「komabato」

記事の画像

　ユービーセキュアは、ウェブアプリケーションの開発現場で手軽にセキュリティ上の脆弱性を検査できる新たなセキュリティテスティングツール「komabato（コマバト）」の提供をSaaSで10月1日に開始した。

　komabatoは、開発の進捗に合わせてセキュリティテストが必要な部分だけを開発者自らがその場で検査し、脆弱性がないかどうかを確認することができるツール。脆弱性検査を「開発プロセスの中で行うテストの一つ」と捉え直し、第三者による「セキュリティ診断」ではなく、開発者自身が主体的に行う「セキュリティテスト」として、開発プロセスへの組み込みを実現する。

　主な特徴として、システムを構成するURLを個別に管理し、URL単位で細かくセキュリティのテストをすることが可能。また、結果を自動的に統合して管理するため、繰り返してテストをし続ける場合にも適している。

　セキュリティ診断で使われる脆弱性検査ツールは、主に脆弱な箇所の検出に重点が置かれており、多くの場合、その後の判断・修正については十分にサポートされていなかった。これに対してkomabatoでは脆弱性がバグと同様に、「検出した後の判断・修正こそが大切」との考えをもとに検出された脆弱性の修正までをタスクとして管理する機能を実現した。担当者の指名や、対応状況の管理、開発者間でのコミュニケーションなど、改修工程で必要な業務を総合的に支援する。

　SaaS型で提供することで、導入企業・組織は、サーバーやPCなどの実行環境を構築する必要はなく、ブラウザーを起動すればすぐに使い始めることが可能。また、テストのために必要なシナリオについても、対象アプリケーションを開いて、ブラウザー操作を記録するだけで作成でき、複雑な設定も必要ない。そのため、ツールを使い始めるための学習コストが低く、誰でも簡単にセキュリティテストが実施できる。

　また、komabatoは、専門知識のないメンバーを含め開発チーム全員が利用できるように設計・開発されている。セキュリティテストを実施できるだけでなく、他のメンバーの作業記録なども互いに閲覧でき、一般的な脆弱性の解説や実装上の注意点、対処方法などの情報はkomabatoが提供するため、そのチーム独自のナレッジを蓄積・共有できる。これにより、チーム全員のセキュリティレベルの底上げにつながることが期待できる。

　価格は、1チーム（1システム）あたり、ベーシックプランで月額5万4780円となる。