Contrast Securityは、サーバーレスアプリケーション開発用に設計されたアプリケーションセキュリティソリューション「Contrast Serverless Application Security」(以下、Contrast Serverless)のリリースを発表した。リリースと同時に「AWS Lambda」をサポートし、順次他のサーバレスにも対応していくという。
今回リリースされた「Contrast Serverless」を追加することにより、開発者はサーバーレス環境内でアプリケーションの脆弱性を自動的に検出および精査し、修正の優先順位付けを行うことができるとしている。主な機能は以下の通り。
- 動的環境スキャン:テスト環境に導入された特定の更新に基づいてカスタマイズされた、動的なセキュリティ評価をリアルタイムで自動的に開始。従来の手動によるアプローチと比較して、侵入テストが飛躍的に簡素化できるという。また、動的スキャンは、SQLインジェクション、コードインジェクション、コマンドインジェクション、ローカルファイルインクルードなど、OWASPトップ10ベンチマークの解釈に基づいている
- リソースマッピング:テストされた環境内のすべてのリソース(S3バケット、APIゲートウェイ、DynamoDBなど)とセッション毎に数分で自動的に関係を検出し、マッピングして可視化する
- コードスキャン:関連するコードと構成の評価を自動的に実行し、ほぼリアルタイムで新たな脆弱性を検出し、推奨されるコンテキストに基づいた修復ガイダンスを提示する
- ソフトウェア構成分析(SCA):独自のオープンソースセキュリティエンジンを使用したオープンソースライブラリの分析
Contrast Securityの最高製品責任者Steve Wilson氏は、「Contrastの新しいサーバーレスセキュリティ機能により、開発者は深刻なセキュリティの脆弱性を簡単かつ迅速に検出および修正出来ます。結果としてクラウドとサーバーレスの可能性を最大限に引き出しながら、これらの環境における脆弱性のリスクを劇的に削減します」と述べている。
【関連記事】
・損保ジャパン、Contrast Securityのソリューション導入でDX推進
・ソフトクリエイト、管理サーバなしで利用できるサーバ向けクラウド型セキュリティサービスを提供開始
・Azure PaaS活用セミナー「マーケティング基盤もサーバレスの時代」を9月28日に開催
