すべてのセキュリティ・チームには、独自の目標と課題があります。DevSecOpsの考え方に賛同し、Webアプリケーション・セキュリティ・テストをソフトウェア開発ライフサイクル(SDLC)に組み込む方法を模索されている方もいらっしゃるのではないでしょうか。ビジネスを推進するいくつかの重要なアプリケーションだけを保護すること、あるいは外部からの支援を受けて、アプリケーションのセキュリティ・リスクを評価および管理することを検討されている方もいらっしゃるでしょう。いずれにしても、拡大し続けるアプリケーションに対応するのは非常に難しいと思われるかもしれません。Rapid7は、Webアプリケーション・セキュリティ・テスト・プログラムを成功に導くために、すべての取り組みを支援します。そのために、SecOpsを可視化、分析、自動化します。
30日間の評価
クラウドを利用したアプリケーション・セキュリティ・テスト
InsightAppSecを評価広範囲かつ高精度な対応
アプリケーションは進化し続けています。複雑なコンポーネントが相互に接続してまとまったものであり、二つとないものばかりです。Webの開発は極めて動的です。アプリケーション・セキュリティ・プログラムは、適応性と俊敏性に優れたテクノロジーを利用して開発する必要があります。Rapid7のユニバーサル・トランスレータは、Rapid7のアプリケーション・セキュリティ・ソリューションすべてに加えて、かつてないスキャン能力とアプリケーションに対する攻撃のシミュレーション能力を提供します。攻撃に利用できるすべての入力を変換および正規化し、一般的な共通の形式にすることで、ユニバーサル・トランスレータによってアプリケーションの保護対象領域を拡張し、将来のWebテクノロジーや新しく登場する攻撃手段に対応できます。Rapid7のソリューションは、テクノロジーを継続的に改善し、実際のスキャンから得られるデータを活用することで、検知漏れ、つまり脆弱性の見落としだけでなく、誤検知も最小限に抑えることができます。
スピードと自動化
DevSecOpsとは、セキュリティをDevOpsのプロセスに統合する慣習のことです。この考え方は、アプリケーション・セキュリティのあり方を迅速に変化させています。セキュリティ・チームは、迅速かつ自動的にテストを実行したいと考えています。Rapid7のAPIによって、まさにそれが可能になります。Rapid7のアプリケーション・セキュリティ・ソリューションは、ソフトウェア開発ライフサイクルとシームレスに連携します。Jenkinsなどの継続的インテグレーション(CI)ソリューションによってスキャンを自動的に行い、脆弱性が本番環境に影響する前に検出します。また、Jiraなどのチケット・システムと連携し、新しい問題について開発者に自動的に通知します。このように、SecOpsによって、コラボレーションが強化され、生産性が向上します。
実績によって裏打ちされた専門知識
Webアプリケーション・セキュリティ・テストには、多くのリソースが必要になることがあります。セキュリティの専門知識だけでなく、テスト対象のアプリケーションがどのように設計され、開発されたかについての詳細な知識も必要です。Rapid7は、テクノロジーと業界におけるリーダーシップの両方を活用し、経験豊富なアプリケーション・セキュリティの専門家をチームに加えることを検討している組織を支援し、世界トップ・レベルのプログラムを開発できるように導きます。Rapid7社内の専門家が、スキャンを実行、調整し、検出された脆弱性の検証と優先順位付けを行い、誤検知が含まれない実用的なレポートを提供します。
Rapid7のWebアプリケーション・セキュリティ・ソリューション
Rapid7は、あらゆるニーズに対応するアプリケーション・セキュリティ・ソリューションを提供します。
- InsightAppSec: クラウドを利用するアプリケーション・セキュリティ・テスト・ソリューションです。迅速に利用を開始し、今日のWebアプリケーションを保護できます。外部のアプリケーションをスキャンするために、オンプレミスにコンポーネントをインストールする必要はありません。InsightAppSecの直感的なワークフローによって、チームは脆弱性を数分でスキャンできます。軽量なオンプレミスのエンジンをインストールすることで、社内のアプリケーションにも対応できます。
- Managed AppSec: セキュリティ・プログラムへの投資を活用するために、Rapid7のマネージド・サービスでは、Rapid7のアプリケーション・セキュリティ専門家にプロセス全体を委ねることができます。これによって、作業量が減り、生産性を迅速に向上させることができ、アプリケーションの評価プロセスが一貫したものになります。また、節約した時間をほかの作業のために利用できます。Rapid7の専門家は誤検知することがないので、誤検知への対応が不要になります。さらに、マネージド・サービスには、脆弱性の検証やビジネス・ロジックのテストなどのアドオン・サービスがあります。
- AppSpider Enterprise: オンプレミスに導入するエンタープライズ向けソリューションです。DevSecOpsの考え方を取り入れて、継続的インテグレーション、問題の追跡、テストの自動化にアプリケーション・セキュリティを組み込むことができます。
- Dockerとコンテナのセキュリティ: コンテナ化されたアプリケーション・インフラストラクチャのすべてのレイヤーを評価、保護、監視するうえでRapid7のソリューションがどう貢献できるかについて、ご確認ください。