Contrast Security DevSecOps最適化ソリューション
Contrast Security DevSecOps最適化ソリューション
Contrast Security DevSecOps最適化ソリューションのイメージ画像

AppSecの複雑さと開発遅延の削減に効果的!
専用エージェントを組み込むだけで、開発ソフトウェアに潜むリスクを可視化し、アプリケーションの内部から外部まで継続的に保護します。


contrast_security_01.png
 

Contrast Securityとは

Web系のアプリケーション開発において、通常の機能試験を行うだけで自動的にセキュリティ診断を実施し、運用時に必要となるセキュリティ対策にも利用できる画期的なエージェント型AppSecツールです。DevOpsやアジャイル開発型だけでなく、ウォーターフォール型の開発においても効果を発揮します。専用のContrastエージェントを組み込むだけで脆弱性を自己検証するContrast Assessとアタックの可視化と防御を行なうContrast Protectがご利用いただけます。
 

contrast_security_agent.pngcontrast_security_arrowg.png
contrast_security_Assess.png
 
contrast_security_view.png
統合された可視化とコントロール
contrast_security_Protect.png
 

 

Conrast Securityの活用方法

  1. ペネトレーションテストの最適化

  2. SAST, DASTおよびWAFを単一プラットフォームにリプレース

  3. DevSecOps: 一連のDevOpsツール群にアプリケーションセキュリティ機能追加

  4. 本番稼働アプリのセキュリティ・モニタリング

  5. クラウド上のアプリケーション保護

  6. コンプライアンス(業種や様々な規制対応)


 

以下のようなAP開発ご担当者さまにお勧め

  • リリース前のセキュリティテストにかかる期間やコストを削減したい
  • 開発担当者がセキュリティ診断と修正まで実施したい
  • スマホで採用されているマイクロアプリケーション開発環境
  • 金融系等で多くのサービスをタイムリーに提供したいケース
  • 開発言語がJava、node.js、Ruby、Python、.NETである
  • ビルドやテストがある程度自動化されている開発環境である

etc

 

導入事例

エヌ・ティ・ティ・コムウェア株式会社 様

DevOpsを推進するソフトウェア開発環境サービス「DevaaS 2.0」でご採用いただきました。
 




 

Contrast SecurityはWebアプリケーション開発におけるセキュリティ課題を解決します!

DevOps型のアプリケーション開発の現場においてセキュリティ診断を行うには、ビルド・テスト後に、セキュリティ診断、リビルド、再テストが必要となるため、リリース時期を遅らせてしまう、または診断自体を省略してセキュリティが不十分なままリリースされるようなケースが散見されました。また、新技術への対応によりアプリケーションの複雑さは増すばかりで、テストやセキュリティ診断にかかる稼働も膨らむ一方でした。

その一方で相次ぐインシデントの発生により社会的にセキュリティ対策は当たり前の価値と捉えられています。また、変化に敏感に対応してタイムリーにアプリケーションをリリースしていく必要性は増しており、DevOpsやアジャイル開発のようなラピッド開発にもセキュリティ対策が求められています。すなわち、アプリケーションの早期リリースとセキュリティの確保を両立させることは、アプリケーション開発者の切実な要望となっています。

Contrast Securityは、セキュリティ専用エージェントを開発当初から組み込むことでこの課題を解決し、スピーディかつ高いレベルのDevSecOps実現を両立します。



 

アプリケーション開発フローのBeforeAfter
アプリケーション開発フローのBefore After
 



製品構成

IAST※1製品 Contrast Assess

サーバーにエージェントを組み込み、アプリケーションの挙動を監視しながら脆弱性を検出
通常の機能テストを実施するだけでセキュリティ診断も自動で実施。

contrast_security_Assess2.png
 
主な機能
インタラクティブ分析 (IAST)
静的分析 (SAST)
動的分析 (DAST)
ソフトウェア構成分析
コンフィグレーション分析
アプリケーション インベントリー

RASP※2製品 Contrast Protect

Contrast Assessと同じく、エージェントを用いてアプリケーション実行時の攻撃をリアルタイムに検知
自己防衛するランタイム・ソリューション。

 
主な機能
侵入防止
ウェブアプリケーションF/W(WAF)
ボットブロック
ライブラリ遮蔽
仮想パッチ
ログ保存強化

 

SCA※3機能 Contrast OSS

上記のどちらの製品からもOSSに対するSCA機能が利用可能。
アプリケーション内で利用しているOSS製品の
リスクを可視化することが可能。

 
 
SDLC全体で活用できる単一画面の価値

※1 IAST:Interactive Application Security Testing  ※2 RASP:Runtime Application Self-Protection  ※3 SCA:Software Composition Analysis

 

Contrast Securityの特徴

ポイント1従来のセキュリティ診断ツールを凌ぐ検知性能

セキュリティ対策に100%は在り得ません。しかし、OWASP Benchmarkで高い検知率を誇る本サービスであれば、高度なDevSecOpsを実現します。

ポイント2シフトレフトを実現する早期診断でリスクを防止

開発完了後にセキュリティ診断を行なう従来の手法は、セキュリティの欠陥が見つかった場合の手戻りが多くなりまが、本サービスは開発の早期からセキュリティ診断ができ、リスクヘッジが可能です。

ポイント3運用時も開発時と同じエージェントで防御でき、効率的

開発時の診断を提供するエージェントは、そのまま開発完了後のアプリ運用を防御するエージェントとして利用できるため、アプリケーションのライフサイクル全般を同じ仕組みで効率的に防御できます。
 

Contrast Securityを導入した場合の主なメリット


contrast_security_merit.png
 

Contrast Securityの導入の容易さ

contrast_security_introduce.png
 

価格

個別のお見積となります。
対象アプリケーション数、開発言語、開発者数をお知らせください。
詳細は以下のフォームよりお気軽にお問合せください。



お見積り依頼・資料請求・お問い合わせ

資料ダウンロード


Contrast Security パンフレット 0.8MB
 
 
Contrast SecurityはContrast Security, Inc.の製品です。詳細はこちら
NTT-ATはContrast Securityのソリューションパートナーです。

「DevaaS」は、日本国内におけるNTTコムウェア株式会社の登録商標です。


 
Twitterでシェア Facebookでシェア