Fortify 製品情報
FORTIFY Product Familyは、アプリケーションの開発、試験、運用の各フェーズにあわせてソフトウェアに潜む脆弱性を正確に発見し、効率的に解析、検証、防御する事ができるソフトウェア郡です。
FORTIFY Software 製品群
| 製品名 | 概要 |
|---|---|
| Fortify SCA フォーティファイ エスシーエー |
【ソースコード解析】
ソースコードを分析し、脆弱性やバグを発見します。開発の早い段階から利用することにより、手戻りの少ない高品質のアプリケーションを開発することができます。 |
| Fortify Tracer フォーティファイ トレイサー |
【ランタイム検証】 アプリケーションの内部構造を分析し、機能テストを行いながら、脆弱性やバグを発見します。内部構造の分析を行うため、従来のペネトレーションテストに比べてより詳細で深い検証を行うことができます。 |
| Fortify Defender フォーティファイ ディフェンダー | 【運用防御】 アプリケーションの内部構造を分析し、必要な場所に防御対策を組み込む、アプリケーション組み込み型のファイアーウォール。アプリケーションの内部構造を理解しながら防御策を自動的に設定するため簡易な設定で強固なセキュリティを実現することができます |
Fortify Products
開発プロセス全てにおけるセキュリティ品質の管理と報告
Fortify SCA ~ ソースコード解析 ~
概要
- ソースコードを解析して脆弱性、品質に関わる問題点を発見・可視化
- 世界中で260社を超える導入実績に基ずく信頼のソフトウェア
- 問題の原因、概要、推奨情報、影響度の提供
- 最新のセキュリティノウハウをネットで提供
- 対応言語: C/C++, JAVA, JSP, C#, VB.NET, ASP.NET, Cold Fusion, SQL PHP, JavaScript, ASP, COBOL (*1)
- 対応プラットフォーム: Windows, Red Hat ES 4 and 5, Novelle SUSE 10, Fedora Core 7, Solaris, HP-UX, AIX, Mac OS X
- 複数の言語が混在したシステムも一括解析
- 関数の関係やデータの流れなどをロジカルに分析し、解析精度を向上
- 何百万のソースコードが解析可能なスケーラビリティ
(*1)Ver5.0より新たに対応した言語
Fortify Source Code Analysis Suiteでのコード内の脆弱性を発見するプロセス
構成
- SCA Engine (Analysis 360)
様々なプラットフォーム上で稼動し、様々に対応したソースコードの脆弱性を検知するためのパワフルな分析エンジンです。 - セキュアコーディングルールパック (Fortify Rules)
研究や実践で培われたセキュアプログラミングのノウハウをルールパックに凝縮し、50,000種類以上のコーディングパターンを網羅したナレッジデータベースです。 - Rules Builder
SCAで提供されるナレッジデータベースだけではなく、お客様が独自に脆弱性検知のパターンを追加する事ができます。Rules Buliderは、このパターンを作成、編集するツールです。 - Audit Work Bench
SCAによって生成された分析結果をビジュアルに表示、修正するためのソースコードビューワーです。ユーザーそれぞれの役割に応じて分析結果を様々な視点から見る事が可能です。 - IDE Plugins
既存のIDE環境を使って開発されている方のために、SCAとIDEを連携させるためのプラグインを用意しております。 - Team Server
SCAによって分析した結果をブラウザーを経由して複数の人が閲覧や問題の管理を行うことができるサーバー製品です。 - FORIFYTManager (オプション製品)
プロジェクトリーダーやセキュリティ監査担当者、マネージメントなどが進行中の開発アプリケーションの脆弱性に対する取組みがどのような状況にあるか、各プロジェクトの状況を横断して監視・管理する事ができます。
>> 詳細情報のお問い合わせへ
Fortify Tracer ~ ランタイム検証 ~
概要
<ブラックボックステストの課題>
ブラックボックステストはアプリケーションのセキュリティを検査する方法として一般的に普及しており、このテストは、実行中のアプリケーションが悪意あるデータやハッキング技術に対してどのように応答するのかを調査・分析して、脆弱性を報告することができます。しかし、これらのテストが「アプリケーションの外側から」行われているため、ブラックボックステスト結果だけでは、アプリケーション内部のどのエリアまでテストが行われたのか、また、問題の確認や修正に必要な詳細の情報が不足する傾向にあります。
Fortify Tracerで解決!!
Fortify Tracerはブラックボックステストの実行中にアプリケーションの内側をモニターすることによって、テストのカバレッジおよび問題の解析や修正に必要な詳細情報を提供
Fortify Tracerはブラックボックステストの実行中にアプリケーションの内側をモニターすることによって、テストのカバレッジおよび問題の解析や修正に必要な詳細情報を提供
外部のブラックボックステストツールに依存せず、Fortify Tracer単独でテストを行い、問題を指摘することが可能
アプリケーションのコードを自動的に分析し、セキュリティ上重要な部分に監視モジュールを組み込み利用する
J2EEおよび.NET Frameworkを利用したアプリケーションに対応
Fortify Tracer コンソール画面イメージ
>> 詳細情報のお問い合わせへ
Fortify Defender ~ 運用防御 ~
概要
- アプリケーションのコードを自動的に分析し、セキュリティ上重要な部分に防御モジュールを組み込み、攻撃から防御(ガード)
- アプリケーションのコードを自動的に分析し、脆弱な箇所をFortify Defender自らが判断するため、複雑な設定が不要
- 独自にガードルールを追加することが可能
- Web Application Firewall (WAF)と比較して監視するトラフィックが少なくなるため、トランザクションのオーバーヘッドが減少
- J2EEおよび.NETのアプリケーションに対応
- ブラウザ経由で、どのような攻撃をいつ受けたのか 確認が可能
- 攻撃に関する詳細な解説を提供
- 米国大手レンタカー会社Hertz(ハーツ)や米国空軍を はじめ世界各国で15社以上の稼動実績
Fortify Defender コンソール画面イメージ
>> 詳細情報のお問い合わせへ
