ページの本文へ

Hitachi

株式会社 日立ソリューションズ

日立ソリューションズ『ファジングテストツール Defensics』のシステム、サービス概要・価格や、解決出来る課題についてご紹介します。

ファジングテストツール Defensics

シノプシス社のDefensicsは、ソフトウェアに潜在する未知のセキュリティ脆弱性を効果的かつ効率的に検出するファジングテスト自動化ツールです。画面の指示に従って手順を実行するだけで、高度なファジング・テストを簡単に実行できます。

このようなお悩みはありませんか?

  • 課題
  • 解決
  • ファジングテストをどのように実施すべきかわからない

    • 作成済みのテストスイートをご用意

    250を超えるビルド済みのテストスイートが同梱されており、自動生成されるテストケースを用いて、体系的なテストを実施することができます。

  • 見落としやすい脆弱性も漏れなく検出したい

    • ステートフルなテストが可能

    プロトコルの規定する全てのシーケンスにわたり、メッセージに不正パターンを埋め込んでテストします。これにより、ステートレスなテストでは検出できないような脆弱性も発見できます。

  • ファジングテストを効率的に実施したい

    • 開発プロセスへの組込みが容易

    各種の開発支援ツール、自動化ツールとの連携が可能で、スムーズかつ効率的にファジングテストを現状の開発プロセスに導入できます。

概要

ファジングテストとは、ソフトウェアやシステムの脆弱性を発見するためのテスト手法のひとつです。

問題を起こしそうなデータを大量に生成し、ソフトウェアやシステムに入力し、その反応や挙動を見ることによって、「未知の脆弱性」(開発者が設計・開発段階で予期できなかったり、見落としてしまった脆弱性や、世の中でまだ認識されていないような脆弱性)を検出します。

シノプシスのDefensicsは250以上のプロトコルやファイルフォーマットなどに対応したファジングテストツールです。ITシステムはもちろん、医療機器・工作機械・製造装置・自動車など、幅広い業種、様々な製品・サービスの開発で利用され、品質やセキュリティの向上に寄与しています。

特長

作成済みのテストスイートをご用意

ソフトウェアには、その入力のタイプ(インターフェイス、プロトコル、ファイルなどのフォーマット)に応じて、それぞれ特有のセキュリティ脆弱性が存在します。

Defensicsには250を超えるビルド済みのテスト・スイートが用意されており、人手でテストを作成しなくてもすぐにファジング・テストを開始できます。様々な入力のタイプに応じて、数万パターン以上のテストケースを自動生成することができ、これにより体系的にテストを実施できます。

テスト・スイートは、新しい入力タイプ、仕様、RFCを反映して常に更新されています。

ステートフルなテストが可能

プロトコルの仕様に従ったステートフルなテストが可能です。つまり、プロトコルの全シーケンスに渡って、関連する全てのメッセージ不正なパターンを埋め込んでテストを実施できます。これにより、ステートレスなテストでは検出できないような脆弱性も発見できます。

開発プロセスへの組込みが容易

さまざまな開発ツールとのインターフェースを持つため、ファジングテストを効果的・効率的に現状の開発プロセスに組み込むことができます。また豊富なAPIが用意されており、繰り返しテストの自動化や、スケーリングによるテスト時間の短縮を可能にします。

機能

syslog/snmpや正常パターン応答によるテスト対象機器異常検出に加え、次のようなテスト対象機器異常検出機能も備えています。

  • アンプ攻撃
  • 認証バイパス
  • ブラインドLDAPインジェクション
  • ブラインドSQLインジェクション
  • 証明書の妥当性検査
  • RRSIGレコードの署名者名の圧縮
  • クロスサイト・リクエスト・フォージェリ
  • クロスサイト・スクリプティング
  • 有効ケースに比べ過剰なクッキー
  • Heartbleed
  • 情報漏洩
  • 不十分な乱数性
  • LDAPインジェクション
  • 不正な形式のHTTP
  • リモート実行
  • SQLインジェクション
  • 予期しないデータ
  • 保護されていない認証情報
  • 弱い暗号
  • ASN.1/BERアノマリ
  • 認証情報アノマリ
  • ディープ・パケット・インスペクション
  • EICARアンチウイルス・テスト・ファイル
  • GTUBE(Generic Test for Unsolicited Bulk Email)
  • 制御プレーン・インジェクション・アノマリ
  • 整数アノマリ
  • ネットワーク・アドレス・アノマリ
  • オーバーフロー・アノマリ
  • アンダーフロー・アノマリ

価格(税抜き)

参考価格:個別見積り

最終更新日:2020年2月27日