ここ数年急増しているサイバー攻撃によるデータ侵害の原因の多くは、アプリケーションの脆弱性を攻撃されることにより発生しているという。それにも関わらず、セキュリティ対策支出の多くはエンドポイントやインフラへ向けられており、企業におけるアプリケーションのセキュリティ対策は進んでいないのが現状だとしている。
オージス総研は、アプリケーションに脆弱性を作りこまないことこそ重要と考え、そのためには、開発初期からセキュア要件定義やセキュア設計レビューなどのセキュリティ対策を実施するセキュリティ開発ライフサイクルが必要だとしている。
「アプリケーションセキュリティソリューション」は、アプリケーション構築に関わるセキュリティ開発ライフサイクルを実践するためのコンサルティングサービスとツールを提供するもの。企業の状況に合わせたセキュリティ対策の実践を、豊富な開発実績を持つオージス総研が支援するという。
「アプリケーションセキュリティソリューション」は、次のようなコンサルティングサービスとツールにより構成される。
■コンサルティングサービス
・セキュリティ開発ライフサイクル実践支援:セキュリティ対策に関する現状分析を行い、企業の開発ライフサイクルに合わせたセキュリティ対策の実践を支援。(セキュリティ開発ガイドライン策定支援、セキュア要件定義、脅威分析、セキュア設計レビュー、リスクベースドテスト計画など)
・ソフトウェアセキュリティ保証成熟度モデル適用支援:OWASP OpenSAMMに基づいた組織の現状アセスメントと改善ロードマップの策定を支援。
■ツール
・ソースコード静的解析ツール:開発時にバグだけでなく、OWASP Top10を始めとするセキュリティ脆弱性を検知できるツールを提供。
・OSSライセンス・脆弱性管理ツール:ソフトウェアに含まれるOSSとそのライセンスおよび脆弱性を自動検出するツールを提供。
