- CPSセキュリティ事業 HOME
- 取扱メーカー
-
ソリューション・サービス
-
コラム・
事例
- 資料
-
セミナー・
オンデマンド動画
- お問い合わせ
Black Duck Software
ブラック・ダック・ソフトウェア
Continuous Dynamic(TM)とは?
Webアプリケーションに対して脆弱性診断を行うツールとそのサービスであり、外部からの診断により脆弱性を検出します。
スポット診断ではなく継続的に診断することで社内に多数あるwebアプリケーションの変更、更新が発生したとしても変化部に対しても診断を素早く行うことが可能です。
機能と特徴
ツール+マニュアルによる正確な診断
ツールが基本でありながらBlack Duck Threat Research Center(TRC)「以下、TRC」のエンジニアによるクローリングや診断ツールの設定、脆弱性の確認による誤検知の低減を行います。
本番環境での安全な診断
POSTリクエスト、ユーザーやグループの作成/削除、お問い合わせ機能などは、TRCにより対象へ影響がないよう慎重に手動でテストされます。禁止するテストや活動指定、またはよりアグレッシブなテストの実施などサイト毎にテストのカスタマイズ依頼を行うことで、本番環境への診断が可能です。
素早い再テスト
継続診断であるとともに、検出された脆弱性個別に再テストを自由なタイミングで実施可能です。修正した脆弱性の結果をすぐに確認したい場合は次回の継続診断を待たずに診断可能です。
ユーザーに依らないテスト
TRCにより分析を行う為、テストシナリオやページ遷移図の用意は不要です。対象のトップURLやクレデンシャル情報とテストスケジュールのみで診断を始められ、利用するユーザーのスキルに依存しない診断が可能です。
ビジネスロジックアセスメント
ECサイトなどの複雑なサイトは完全なマニュアルによるテストが必要となりますが、継続診断のほかにビジネスロジックアセスメント(BLA)を組み合わせることで実施可能です。
サービス(ライセンス)形態
Basic Edition(BE)、Standard Edition(SE)、Premium Edition(PE) の3つの形態がありサイト毎に適用するライセンスの選択が可能です。
BEは情報を提供するのみの簡易的なサイト、SEは検索や登録が発生するサイト、PEは複雑なビジネスロジックを考慮するべきサイトへの適用されることが一般的です。
| Premium Edition(PE) | Standard Edition(SE) | Basic Edition(BE) | |
| 継続診断 | ✔ | ✔ | ✔ |
| TRCによる検出結果のVerify | ✔ | ✔ | ✔ |
| 個別脆弱性への即時再テスト | ✔ | ✔ | ✔ |
| プロダクションセーフ | ✔ | ✔ | ✔ |
| セキュリティエンジニアへのアクセス | ✔ | ✔ | ✔ |
| ツールコンフィグレーション/フォームトレーニング | ✔ | ✔ | |
| シングルページアプリケーション | ✔ | ✔ | |
| 認証が必要なサイトへのテスト | ✔ | ✔ | |
| ビジネスロジックテスト | ✔ | ||
|
|
|
導入構成
外部からの診断の為クライアントレスです。
診断に利用するIPアドレスからのアクセスを許可願います。
完全に内部サイトである場合はアプライアンスを対象サーバにインストールすることで通信を許可する方法も用意されています。
FAQ
1ライセンスで診断できるサイト規模に制限はありますか。
ありません。ただし、登録したトップURLと同じドメインであることが条件です。サブドメインも登録は一定数可能ですが、トップURLのドメインのサイトに対して必須の機能を有していることや、サイト遷移がトップURLのドメインから可能であることなどの条件がございます。
診断時間はどのくらいですか。
サイト規模によりますが、早いと半日、規模が大きいサイトですと1週間以上かかる場合がございます。
サイトがクローリングした結果を確認できますか。
可能です。クローリングした結果、診断対象となったエンドポイントのURLを確認頂けます。診断への追加、除外も可能です。
トライアルは可能ですか。
可能です。諸条件等お問い合わせください。
