Webアプリケーション・セキュリティ・テスト

広範囲かつ高精度な対応

アプリケーションは進化し続けています。複雑なコンポーネントが相互に接続してまとまったものであり、二つとないものばかりです。Webの開発は極めて動的です。アプリケーション・セキュリティ・プログラムは、適応性と俊敏性に優れたテクノロジーを利用して開発する必要があります。Rapid7のユニバーサル・トランスレータは、Rapid7のアプリケーション・セキュリティ・ソリューションすべてに加えて、かつてないスキャン能力とアプリケーションに対する攻撃のシミュレーション能力を提供します。攻撃に利用できるすべての入力を変換および正規化し、一般的な共通の形式にすることで、ユニバーサル・トランスレータによってアプリケーションの保護対象領域を拡張し、将来のWebテクノロジーや新しく登場する攻撃手段に対応できます。Rapid7のソリューションは、テクノロジーを継続的に改善し、実際のスキャンから得られるデータを活用することで、検知漏れ、つまり脆弱性の見落としだけでなく、誤検知も最小限に抑えることができます。

スピードと自動化

DevSecOpsとは、セキュリティをDevOpsのプロセスに統合する慣習のことです。この考え方は、アプリケーション・セキュリティのあり方を迅速に変化させています。セキュリティ・チームは、迅速かつ自動的にテストを実行したいと考えています。Rapid7のAPIによって、まさにそれが可能になります。Rapid7のアプリケーション・セキュリティ・ソリューションは、ソフトウェア開発ライフサイクルとシームレスに連携します。Jenkinsなどの継続的インテグレーション（CI）ソリューションによってスキャンを自動的に行い、脆弱性が本番環境に影響する前に検出します。また、Jiraなどのチケット・システムと連携し、新しい問題について開発者に自動的に通知します。このように、SecOpsによって、コラボレーションが強化され、生産性が向上します。

実績によって裏打ちされた専門知識

Webアプリケーション・セキュリティ・テストには、多くのリソースが必要になることがあります。セキュリティの専門知識だけでなく、テスト対象のアプリケーションがどのように設計され、開発されたかについての詳細な知識も必要です。Rapid7は、テクノロジーと業界におけるリーダーシップの両方を活用し、経験豊富なアプリケーション・セキュリティの専門家をチームに加えることを検討している組織を支援し、世界トップ・レベルのプログラムを開発できるように導きます。Rapid7社内の専門家が、スキャンを実行、調整し、検出された脆弱性の検証と優先順位付けを行い、誤検知が含まれない実用的なレポートを提供します。

Rapid7のWebアプリケーション・セキュリティ・ソリューション

Rapid7は、あらゆるニーズに対応するアプリケーション・セキュリティ・ソリューションを提供します。

• InsightAppSec: クラウドを利用するアプリケーション・セキュリティ・テスト・ソリューションです。迅速に利用を開始し、今日のWebアプリケーションを保護できます。外部のアプリケーションをスキャンするために、オンプレミスにコンポーネントをインストールする必要はありません。InsightAppSecの直感的なワークフローによって、チームは脆弱性を数分でスキャンできます。軽量なオンプレミスのエンジンをインストールすることで、社内のアプリケーションにも対応できます。
• Managed AppSec: セキュリティ・プログラムへの投資を活用するために、Rapid7のマネージド・サービスでは、Rapid7のアプリケーション・セキュリティ専門家にプロセス全体を委ねることができます。これによって、作業量が減り、生産性を迅速に向上させることができ、アプリケーションの評価プロセスが一貫したものになります。また、節約した時間をほかの作業のために利用できます。Rapid7の専門家は誤検知することがないので、誤検知への対応が不要になります。さらに、マネージド・サービスには、脆弱性の検証やビジネス・ロジックのテストなどのアドオン・サービスがあります。
• AppSpider Enterprise: オンプレミスに導入するエンタープライズ向けソリューションです。DevSecOpsの考え方を取り入れて、継続的インテグレーション、問題の追跡、テストの自動化にアプリケーション・セキュリティを組み込むことができます。
• Dockerとコンテナのセキュリティ: コンテナ化されたアプリケーション・インフラストラクチャのすべてのレイヤーを評価、保護、監視するうえでRapid7のソリューションがどう貢献できるかについて、ご確認ください。