セキュリティコンプライアンスパックとは
Jtest やdotTEST には、セキュリティ脆弱性を検出するルールが多数搭載されており、Webアプリケーションを脅かす攻撃に対して、脆弱なコードをピンポイントに検出します。
OWASP TOP10、PCI DSS などの権威ある団体が発表したセキュリティ脆弱性のルールカテゴリがあらかじめ用意されており、ソースコードに潜むセキュリティ脆弱性を検証することができます。
セキュリティコンプライアンスパックは、これらのセキュリティ脆弱性のルールによる静的解析の結果から、OWASP Top 10 やPCI DSS に則った順守サマリーレポートや逸脱のレポートをいつでも確認できるようになります。
ガイドラインの順守状況の説明責任を果たすことが容易になるだけでなく、未順守箇所を早期に特定し必要な措置を講ずることにより、欠陥のあるソフトウェアに関連するビジネスリスクを排除することが可能になります。
図1:セキュリティコンプライアンスパック用ルール
図2:PCI DSS用ダッシュボード
コンプライアンス ウィジェット
専用のダッシュボードには、あらかじめPCI DSS 等のガイドラインの順守状況を確認することができる、コンプライアンスウィジェットが用意されています。
PCI DSS Compliance Status
規約への準拠の現在のステータスを表示するウィジェットです。ステータスには幾つか種類があり、以下画像のステータスは「Not Compliant 」と表示されています。
- Not Compliant (準拠していない): 重大なリスクを示す違反がレポートされました。
さらに、PCI DSS Compliance Status のウィジェットをクリックすると、より詳しい内容を確認できるコンプライアンスレポートが表示されます。
コンプライアンスレポートは、ガイドラインに則っているかどうかの証明に役立ち、どの要件で違反が検出されたか、各要件への準拠状況を確認することができます。
さらに、「# of Violations」の違反件数をクリックすると、違反エクスプローラー画面に遷移して、コードのどの部分で違反が検出しているのか素早く確認および対策することができます。
PCI DSS Compliance Status では、上記のステータスの他に以下のステータスも用意されています。
- Compliant With Deviations (逸脱があるが準拠): レポートされた違反は許容範囲であり、抑制されています。
- Compliant With Violations (違反があるが準拠): レポートされた違反は、重大なリスクを示すものではありません。
- Compliant (準拠): 違反はまったくレポートされていません。抑制は適用されていません。
この他にも円グラフでステータスを確認できる「PCI DSS Compliance - Requirements by Status」や、最も違反が多い要件の上位5つを表示する「Categories - Top 5 Table」といったウィジェットを用意しています。
