Wed, 16 Jun 2021 13:01:00 +0900 hourly 1 /release/202106166329 Wed, 16 Jun 2021 13:01:00 +0900 Contrast Security Japan Contrast Securityが10倍速で脆弱性を検出する革新的な技術により DevSecOpsプラットフォームを拡張   画期的なパイプラインネイティブのコード分析型セキュリティテストツール「... DevSecOpsプラットフォームを拡張
 
画期的なパイプラインネイティブのコード分析型セキュリティテストツール「Contrast Scan」を新たに追加し、Contrast アプリケーションセキュリティ・プラットフォームはDevSecOpsのライフサイクルを完全にカバー
 
2021 年 6 月、米国カリフォルニア州ロスアルトス –
Contrast Securityは、静的アプリケーションセキュリティテスト (SAST) に革命をもたらす新製品「Contrast Scan」のリリースを発表しました。これにより、パイプラインネイティブの静的アプリケーションセキュリティテストによってコードを分析し、ソフトウェア開発ライフサイクル（SDLC）において、より早い段階で脆弱性を検出できるようになります。「Contrast Scan」のリリースによって、Contrastアプリケーションセキュリティ・プラットフォームで実現できるDevSecOps 機能が SDLC 全体に拡張されるため、企業のセキュリティ担当はセキュリティポリシーのコンプライアンスに対応しながら、コードのスキャンを最大で10倍高速化し、脆弱性の修正を最大45倍の速さで実施出来る様になります。
 
従来の静的アプリケーションセキュリティテスト（SAST）では、ノイズが発生し易いルールセットを採用しコード品質の問題を検出しています。このようにアプリケーションの外側から内部を確認する手法では、脆弱性の調査に多くの時間とリソースを費やす膨大な量の誤検出が発生し、最悪の場合に誤検出の割合が85% に達します。また、開発者向けの新しいコードスキャンツールでは、アプリケーションセキュリティが極端にシフトレフトして誤検出の問題が悪化し、開発者は優先順位付けや修正を適切に実施出来なくなっています。そのため、従来の静的アプリケーションセキュリティテスト（SAST）を利用されている実務担当者の3分の2は、別のアプリケーションセキュリティテストツールの導入を検討しています。
 
「Contrast Scan」 は、パイプラインを意識したアプローチでこれらの課題を解決することを目指しており、速度・精度・開発者の使用感を劇的に改善してリリースサイクルを遅らせる非効率性や障害を除くことで、デジタルトランスフォーメーション（DX）を加速します。「Contrast Scan」は、迅速かつ簡単に利用することが出来ます。細かい設定は必要無く、3回クリックするだけで検出結果を得る事が出来ます。さらに、「Contrast Scan」はContrastアプリケーションセキュリティ・プラットフォームの一部として統合されているため、SAST、IAST（インタラクティブ・アプリケーションセキュリティテスト）、ランタイム保護（RASP）と可観測性およびソフトウェア構成分析 (SCA) 全てを同一の DevSecOpsプラットフォーム上で利用することが出来ます。
 
「Contrast Scan」の主な特長：
 
● 重大な脆弱性を10 倍の速さで検出
「Contrast Scan」は画期的なデマンドドリブン方式のアルゴリズムにより静的アプリケーションセキュリティテストエンジンを強化しており、リスクの無い脆弱性を無視して、悪用される可能性のある脆弱性のみを特定することができます。その結果、「Contrast Scan」はスキャンの実行時間を 10 分の1に短縮出来ます。スキャンを高速化することで、DevOpsのイノベーションを遅延させるセキュリティ対応を短縮し、開発とセキュリティ担当間の効率化を図ります。


● 修正スピードが45倍にアップ
Contrast プラットフォームの幅広い機能と組み合わせて使用すれば、「Contrast Scan」は脆弱性の修正時間を最大45分の1に短縮することが出来ます。これは、開発者が悪用可能なフローに注力しランタイムおよび本番環境のトラフィック分析に基づいてエントリポイントのあるルートに優先順位を付け、脆弱性修正ガイダンスを活用することにより実現します。セキュリティに掛かる負担が削減されアプリケーションのセキュリティリスクが軽減します。


● アプリケーションセキュリティの効率が30%向上
パイプラインネイティブの静的アプリケーションセキュリティテストをContrastアプリケーションセキュリティプラットフォームに統合することで、セキュリティ担当はスキャン、トリアージ、修正業務を最大30%効率化させることが出来ます。Contrastの包括的なDevSecOpsアプローチにより、最新のアプリケーション開発や本番環境で一般的となっている迅速なリリースサイクルにセキュリティが組み込まれます。また、アプリケーション開発から本番環境まで最適化されたアプリケーションツールを提供することによって、DevSecOpsのライフサイクルを完全にカバーします。これにより、コンプライアンスレポートを迅速に作成しコンプライアンス対応に掛かる時間が、数日から数分に短縮されます。
 
今日の企業は、開発スピードとセキュリティのいずれかの選択を迫られるべきではありません。「Contrast Scan」の追加により、Contrastアプリケーションセキュリティ・プラットフォームはDevSecOps対応を実現し、組織は開発者のデスクトップ、リリースゲート、または本番環境など、どこからでもアプリケーションを保護できます。Contrastプラットフォームは、SCA、アプリケーションセキュリティテスト（AST）、およびSDLC全体でエージェントによる攻撃ブロック機能を提供し、真のDevSecOpsを実現することを目的として開発されました。
”
「『Contrast Scan』 は、アプリケーションのセキュリティチームと開発チームの双方にとってゲームチェンジャーとなります」と、Contrast Security の最高製品責任者であるSteve Wilsonは述べています。 「開発ライフサイクルの早い段階でアプリケーションの脆弱性について、これまでに無い可観測性を得ることが出来ます。従来の静的アプリケーションセキュリティテスト（SAST）の様な誤検出によるノイズは一切ありません。これは、企業のアプリケーションがより高い安全性を保ちつつ、開発スピードを維持出来ることを意味します。」
 
「Contrast Scan」についての詳細はContrast Securityのホームページをご覧ください。（英語）
https://www.contrastsecurity.com/pipeline-native-static-analysis
 
Contrast Securityについて
Contrast Securityはアプリケーションセキュリティにおけるリーディングカンパニーです。Webアプリケーションの開発段階でアプリケーションに潜む脆弱性を高精度で解析し、本番環境では外部からの攻撃を迅速に検出しブロックすることが出来ます。　 特許取得済み技術「ディープセキュリティ・インスツルメンテーション」により、企業はソフトウェア開発ライフサイクル（SDLC）への展開を簡単且つ迅速に実現します。従来の非効率的なアプリケーションセキュリティ（SAST、DASTおよびWAF）から完全に置き換えることにより、時間やコストを消費する脆弱性スキャンの排除やインフラ業務、セキュリティエンジニアのリソースを軽減します。Contrastのアプリケーションセキュリティは、SDLCを加速し、未知の脅威からアプリケーションを保護しながらビジネスの成長を促進します。
https://www.contrastsecurity.com/ja/
]]> /release/202106025757 Wed, 02 Jun 2021 11:01:00 +0900 Contrast Security Japan 損保ジャパン、米国Contrast Security社のセキュリティソリューションを導入 〜デジタルトランスフォーメーションにおけるセキュリティ強化と開発業務の高度化を推進〜   　Webアプリケー... SOMPOホールディングス株式会社
損害保険ジャパン株式会社
株式会社ユービーセキュア
Contrast Security Japan合同会社
損保ジャパン、米国Contrast Security社のセキュリティソリューションを導入
〜デジタルトランスフォーメーションにおけるセキュリティ強化と開発業務の高度化を推進〜
 
　Webアプリケーションセキュリティを提供するContrast Security, Inc.（CEO：アラン・ニューマン）と、SOMPOホールディングス株式会社 （グループCEO執行役社長：櫻田 謙悟、以下「SOMPOホールディングス」）および損害保険ジャパン株式会社（取締役社長：西澤 敬二、以下「損保ジャパン」）、株式会社ユービーセキュア（代表取締役社長：観堂 剛太郎）は、本日、SOMPOホールディングスおよび損保ジャパンのデジタルトランスフォーメーション戦略の要となる基幹システムの刷新プロジェクトにおけるセキュリティ対応にContrast Securityのセキュリティソリューション「Contrast ASSESS」および「Contrast OSS」を採用することを決定し発表しました。これにより、損保ジャパンのデジタルトランスフォーメーションにおける、カスタムコード、オープンソースソフトウェアのセキュリティ強化、開発スピード加速および高度化を推進することが可能になります。
　損保ジャパンでは、傷害保険見積もりの新たなアプリケーションの開発において、「Contrast ASSESS」および「Contrast OSS」に加えて、本番稼動中のアプリケーションに対する攻撃をブロックする「Contrast PROTECT」の導入も進めています。
 
１．導入の背景・目的
　損保ジャパンでは、SOMPOグループが推進する「未来革新プロジェクト」※において、デジタルトランスフォーメーションをさらに進め、より付加価値の高いサービスを迅速に提供することを目指した基盤作りを進めています。このような状況において、開発効率を向上させるためカスタムコードに加えてオープンソースソフトウェア（OSS）も活用していく中で、プロセスで検出される脆弱性の量も膨大となる為、脆弱性対応に要する時間を短縮し、負荷を軽減して開発作業のスピードを高める自動化された仕組みが必要となり、従来の方法では削減出来なかった脆弱性対応の工数削減のためContrast Security社のソリューションを採用しました。
※「未来革新プロジェクト」とは・・・1980年代に構築、その後改修を重ね複雑化・肥大化した基幹システムを刷新するプロジェクト。Javaなどのオープン技術を全面採用しよりスピード感をもった開発を行えるようになることで、付加価値の高いコア業務領域の拡大、新ビジネス創出を目指す。
[https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2021/20210601_2.pdf]
 
２．導入ソリューションの概要
　今回、採用が決定したContrast Securityの「Contrast ASSESS」は、テストで稼働しているウェブアプリケーションにインテリジェントなエージェントを組み込むことにより、高速なソフトウェア開発環境でアプリケーションの脆弱性やコンプライアンス上の潜在的リスクをリアルタイムで検出し、課題の早期対応や継続的検証、監視を行います。特に「Contrast OSS」は、脆弱性のあるオープンソースソフトウェアコンポーネントを特定し、それらがアプリケーションで実際にどのように使用されているかを判断出来るため、早期の対応により実行時の悪用を防ぐことが可能になります。
 
＜各社のコメント＞
■SOMPOホールディングス、IT企画部プロジェクトマネージャー 課長代理：土屋敏行
　これまでのウォーターフォール方式の開発では、テストの段階になってはじめて脆弱性診断を実施するという具合に、後のフェーズでセキュリティを検査していました。しかしセキュリティ対応というものは、後のフェーズになればなるほど対応工数もコストも嵩みます。開発プロセスのより前の段階で脆弱性を検知出来ないかと問題意識を抱えていたところにContrast Securityの話を聞き、プロジェクトに取り入れてみました。Contrast Security社の製品群を活用することで、リリースサイクルを維持しながらセキュリティを担保していきたいと思っています。
■損害保険ジャパン、IT企画部セキュリティエバンジェリスト：小中俊典
　基幹システムの刷新によりオープンな技術を利用できる自由度が上がった反面、オープンソースソフトウェアやソースコードへの脅威対策がより一層必要となっていました。また従来の開発プロセスでは世の中の脅威の発生への対策スピードが合わなくなっており、迅速に漏れなく対策ができるソリューションを探していました。Contrast Security社の製品群は検知能力、管理のし易さを兼ね備えた強力なツールであり、システムリスクの大幅な低減に寄与できるものと思います。
■損害保険ジャパン、IT企画部ユニットリーダー：西山龍弥
　基幹システムの刷新プロジェクトにおいてコアとなる基盤・業務アプリ開発の進行に対して、脆弱性の管理運用はいかに楽に、漏れなく対応できるかが課題でした。Contrast Security社の製品群を実際に用いることで、その課題に対する効果を確認し確実な導入を進めることができました。
 
■株式会社ユービーセキュア、代表取締役社長：観堂剛太郎
　SOMPOグループ様にて、DXを支えるセキュリティソリューションとして、Contrast Security社の製品が採用されたことを嬉しく思います。ユービーセキュアは「セキュリティを楽に」するソリューション・サービスを、お客様と伴走しながらフィットさせ、安全・安心なデジタルサービスの提供実現をお手伝いしています。SOMPOグループ様のDevSecOpsの実現に向け、積極的にご支援を継続して行きます。
 
■Contrast Security、最高戦略責任者：Surag Patel
　デジタルトランスフォーメーションは、世界の保険会社においても優先的かつ戦略的に進めている取り組みです。SOMPOグループのブランドスローガンである『安心・安全・健康のテーマパーク』は正にデジタルテクノロジーを統合する高品質のソリューションによって達成されると思っています。我々は、SOMPOグループのデジタルトランスフォーメーションを、Contrastが提供する最新の企業向けセキュリティプラットフォームによって強化されることを嬉しく思っています。弊社のプラットフォームは、損保ジャパンのような企業が顧客に提供する先進的なプロジェクトを、従来のセキュリティツールでは出来なかったスピードで進めることが出来るようになります。Contrast Securityは、ソフトウェア開発ライフサイクル全体においてセキュリティの可観測性を組み込み、その自動化されたアプローチにより、アプリケーションセキュリティに変革をもたらします。
 
３．今後について
　損保ジャパンは、デジタルトランスフォーメーションを更に推進し、サービス開発の生産性とセキュリティ品質の両方を高めながら、お客様により付加価値の高いサービスを迅速に提供することを目指します。
Contrast Securityは、日本国内でのお客様のデジタルトランスフォーメーションにおけるセキュリティ強化と開発業務効率化の支援に努めてまいります。
 
損害保険ジャパン株式会社について
　各種損害保険商品、サービスを主軸に、デジタル技術を活用した事故対応サービス、ドライブレコーダーを活用した安全運転支援サービスなどを提供。近年では変化する時代を見据え、自動運転やシェアリング事業など新たな分野にも事業領域も拡大。
 
株式会社ユービーセキュアについて
　株式会社ユービーセキュアは、Webアプリケーション脆弱性検査ツール国内No.1シェアのVex、DevSecOps実現するための各種プロダクト、セキュリティ診断サービスを提供しています。
また、DevSecOpsにおける豊富な事例や知見を評価され、米国市場でトップクラスのContrast Security社から一次代理店として認定されています。
　数千サイトに及ぶ診断実績に基づくフィードバックを反映したWebアプリケーション脆弱性検査ツール「Vex」から得られたセキュリティテストの知見をもとにContrast SecurityによるDevSecOpsの推進を強力にサポートしてまいります。
 
Contrast Securityについて
　Contrast Securityはアプリケーションセキュリティにおけるリーディングカンパニーです。Webアプリケーションの開発段階でアプリケーションに潜む脆弱性を高精度で解析し、本番環境では外部からの攻撃を迅速に検知しブロックすることが出来ます。　 　特許取得済み技術「ディープセキュリティ・インスツルメンテーション」により、企業はソフトウェア開発ライフサイクル（SDLC）への展開を簡単且つ迅速に実現します。従来の非効率的なアプリケーションセキュリティ(SAST、DASTおよびWAF)から完全に置き換えることにより、時間やコストを消費する脆弱性スキャンの排除やインフラ業務、セキュリティエンジニアのリソースを軽減します。Contrastのアプリケーションセキュリティは、SDLCを加速し、未知の脅威からアプリケーションを保護しながらビジネスの成長を促進します。
https://www.contrastsecurity.com/ja
 
以上
 
本プレスリリースの掲載ページ
https://www.contrastsecurity.com/ja/contrast-news/sompo-japan-adopts-contrast-security-platform
]]> /release/202105255332 Tue, 25 May 2021 11:05:00 +0900 Contrast Security Japan Contrast Securityがインタラクティブ・アプリケーション・セキュリティ・テスティング（IAST）で業界初となるGo言語をサポート 〜新しいエージェントにより、従来のアプリケーションセキ... 〜新しいエージェントにより、従来のアプリケーションセキュリティ製品(SASTなど)と比較して飛躍的に精度向上および誤検知削減：特にAPIセキュリティにとって重要〜
 
Contrast Securityは、業界で最も包括的なDevSecOpsソリューションであるContrastアプリケーション・セキュリティ・プラットフォームに、Go言語に対応するエージェント(以下、Contrast Goエージェント)を追加したことを発表しました。Contrast Goエージェントにより、アプリケーション外部からセキュリティを検出する従来型のセキュリティテストによって生じる脆弱性の誤検知を削減することが出来ます。Contrastを使用してアプリケーションの内部から脆弱性を検出することで、誤検知に起因するセキュリティノイズの大幅な削減が可能となり、アプリケーションの開発者は脆弱性を簡単かつ迅速に修正出来るようになります。
 
Contrast Goエージェントの新たなリリースにより、Contrastのインタラクティブ・アプリケーション・セキュリティ・テスティング（IAST）が、Go言語で開発されたアプリケーションに対応しました。このリリースは、アプリケーション・プログラミング・インターフェイス（API）の保護が必要な企業にとって非常に重要です。APIの構築はGo言語の主な用途のひとつであるため（Go言語の開発者の74％がAPIを開発）、企業はこれまで、従来のアプリケーションスキャンを使用してこれらのAPIの脆弱性を確認しなければなりませんでした。従来のスキャンツールでは誤検知が発生するだけでなく、未知の脅威を見逃していました。Contrast Goエージェントは、ソフトウェア構成分析（SCA）により既知の脆弱性を特定し、APIランタイムを分析し未知の脆弱性を検出することが出来ます。また、その後に未知の脆弱性が新たに検出された場合、影響を受ける可能性のあるアプリケーションがContrast DevSecOpsコントロールセンター（GUI）に表示されます。
 
Contrast Securityの最高製品責任者であるスティーブ・ウィルソンは「Contrastプラットフォームの対象範囲を広げてGo言語アプリケーションまでサポートすることで、企業はWebアプリケーションのテストと実行時において、アプリケーションのリスクをこれまで不可能だった方法で劇的に削減します」と述べています。 「Contrast Securityは、アプリケーションセキュリティにおける従来のツール（SASTなど）から生じる誤検知によるセキュリティアラートを削減します。このような誤検知によるアラートはセキュリティチームを疲弊させ、開発リリースサイクルを滞らせます。Go言語のアプリケーションに適した脆弱性テスト手法はこれまでに存在しませんでした。Contrast Goエージェントにより、重要な脆弱性を検出するだけでなく、開発者自らが脆弱性の修正を簡単かつ迅速に実施出来るようになります。」
 
Contrastのプラットフォームにより、企業はGo言語アプリケーションのカスタムコードとオープンソースコードの両方の脆弱性に対処することができます。Contrastの統合的な脆弱性検出アプローチは、センサーをアプリケーション内部に組み込んでデータフローを追跡することで、パストラバーサルからインジェクション攻撃まで、脆弱性の検出精度と品質を向上させます。Contrast Goエージェントは、ビルド時にセキュリティセンサーを組み込むことによって機能し、フェイルセーフなセンサーとして、さまざまなメソッドに対してその動作内容に応じて追加されます。 パフォーマンスへの影響は低く、QAやテスト環境に多少影響を与えるだけです。 ビルド時のオープンソースのライブラリー（OSS）の脆弱性分析は数秒で終了します。
 
Contrastの独自のアプローチは、セキュリティテストを効率化するだけでなく、パフォーマンスへの影響を及ぼすことなく、本番環境におけるアプリケーションを保護しリスクを大幅に削減します。Contrastのアプリケーション・セキュリティ・プラットフォームでは、Java、.NET、Node.js、Ruby、Pythonと幅広い言語をサポートしていますが、今回のGo言語のサポートを加えてさらに充実しました。
 
https://www.contrastsecurity.com/ja/contrast-news/contrast-supports-go-agent
 
Contrast Securityについて
Contrast Securityはアプリケーションセキュリティにおけるリーディングカンパニーです。Webアプリケーションの開発段階でアプリケーションに潜む脆弱性を高精度で解析し、本番環境では外部からの攻撃を迅速に検知しブロックすることが出来ます。特許取得済み技術「ディープセキュリティ・インスツルメンテーション」により、企業はソフトウェア開発ライフサイクル（SDLC）への展開を簡単且つ迅速に実現します。従来の非効率的なアプリケーションセキュリティ（SAST、DASTおよびWAF）から完全に置き換えることにより、時間やコストを消費する脆弱性スキャンの排除やインフラ業務、セキュリティエンジニアのリソースを軽減します。Contrastのアプリケーションセキュリティは、SDLCを加速し、未知の脅威からアプリケーションを保護しながらビジネスの成長を促進します。
 
]]> /release/202105184991 Tue, 18 May 2021 14:35:00 +0900 Contrast Security Japan 2021年5月18日 Contrast Security Japan合同会社 Contrast Securityがクラウドネイティブ・コンピューティング・ ファウンデーション（CNCF）とLinux... Contrast Security Japan合同会社

Contrast Securityがクラウドネイティブ・コンピューティング・
ファウンデーション（CNCF）とLinux Foundationに加入
〜クラウドネイティブアーキテクチャとオープンソースソフトウェアにおけるセキュリティのベストプラクティスと標準化を推進〜
 
Contrast Securityは、安全で最新の拡張可能な開発環境を提供し Webアプリケーションの迅速な構築およびその実行を促進します。
 
アプリケーションセキュリティにおけるイノベーションリーダーであるContrast Securityは本日、Cloud Native Computing Foundation（CNCF）とLinux Foundationにシルバー会員として加入したことを発表しました。 これにより、世界の大手企業、エンドユーザーおよびベンダーが協力し、クラウドネイティブアーキテクチャとオープンソーステクノロジーの活用がさらに促進されます。CNCFは、Kubernetes、Prometheus、Envoyなど、最も急速に成長している多くのオープンソースプロジェクトベンダーを中立的な立場で支援しています。ContrastはCNCF会員になることによりCNCFのイベント、プロジェクト、コミュニティへの積極的な参加を通じて、クラウドネイティブアーキテクチャとオープンソースソフトウェアにおける増大するリスク対策とそのメリットの活用について業界をサポートおよび啓蒙していく事を目指しています。
 
サードパーティのオープンソースソフトウェア（OSS）の活用は、過去数年間で大幅に増加しています。OSSとは、開発者が社内で開発した独自のコードを補強し、リリースまでの時間を短縮するために使用、変更、共有出来るパブリックドメイン内のアプリケーションコンポーネント（フレームワークやライブラリなど）を指します。昨今、OSSは広く採用され、ウォルマート、JPモルガン・チェース、さらにはマイクロソフトなどの大手企業などで使用されています。同時にContrast Securityは、企業のソフトウェアに潜在する脆弱性、オープンソースコードに対する標的型攻撃、知的財産であるライセンスなどのリスクを発生させずに、OSSを安全に活用出来るよう企業を支援しています。DevOpsでOSSを安全に活用することは、ワークフローの課題でもあります。
 
クラウドネイティブアプリケーションは、クラウドで実行される従来のアプリケーションに比べて、企業にさまざまなメリットをもたらします。クラウドネイティブアプローチは、ビジネスおよび開発サイクルの高速化という2つの異なる領域に分類されます。組織においてクラウドネイティブコンポーネントの採用が急速に拡大しています。例えばForresterのレポート※によると、わずか1年後には、開発者の30％が定期的にクラウドコンテナを使用し、25％がサーバーレスコンピューティングを使用されると予測しています。 市場が急速に進化し企業が非常に短い期間でアプリケーション開発や影響の大きい変更を加える必要性が高まるにつれ、これらの数値が増加していく可能性を強く示しています。ただし、クラウドネイティブアプリケーションのメリットを最大限に活用するには、組織が適切なセキュリティテクノロジーとプロセスを導入する必要があります。
 
Contrast Securityの最高戦略責任者であるSurag Patelは、次のように述べています。「API、Kubernetes、サーバーレス機能、クラウドネイティブアーキテクチャ、オープンソースコード等の、デジタルトランスフォーメーションを加速するためのコミュニティのコア基盤の多くは、リスクを飛躍的に増大させます。Contrast Securityは、企業がこれら全ての最新のアプローチを安全に活用できるよう支援しており、デジタルトランスフォーメーションを遅らせることなく、生じ得るリスクを削減します。我々は、セキュリティの可観測性に特化した機能がコミュニティに利益をもたらすと信じるとともに、市場に関する独自のノウハウを提供します。」
 
CNCFへの加入以前に、Contrast SecurityはOSSのセキュリティに関する2021年版のレポートにおいて、アプリケーションで検出されたサードパーティ・ライブラリの38％がアクティブで、アクティブなライブラリのクラスのうち31％しか呼び出されていないことを明らかにしました。従来のソフトウェア構成分析（SCA）ソリューションでは、アプリケーションに含まれる全てのオープンソースコードを分析しなければなりません。これは、リスクが無い脆弱性を調査するために膨大な時間とリソースの浪費に繋がります。しかしながら、呼び出されるサードパーティのコードにはリスクが内在しています。ライブラリの平均使用年数は2.6年で、アプリケーションには平均34個のCVE(共通脆弱性識別子）が含まれると言われてます。
 
また同レポートによると、多くのアプリケーションにリスクの高いライセンスの問題が含まれており、このようなアプリケーションをリリースする可能性があることも判明しました（例、35％のアプリケーションに少なくとも1つはコピーレフトライセンスが含まれていると言われています）。CNCFの会員企業は、Contrast Securityの提供するアプリケーションセキュリティプラットフォームを活用することでアプリケーション内部からセキュリティを確認出来る様になり、その脆弱性検出結果やContrastが提供するその他の調査報告書を参照および活用頂くことが出来ます。
 
Contrastは、ビルドパックを含む様々なCNCFプロジェクトを既にサポートしており、独自のセキュリティ技術を全てのワークロードイメージに自動構成します。全てのワークロードはアプリケーションセキュリティに関する見解と組み合わされ、分散されたWebアプリケーション環境に大規模なセキュリティを展開します。CNCFの会員として、Contrastは引き続き他の会員企業様と連携しながらベストプラクティスについてCNCFにフィードバックしていきます。
 
※出典：「Predictions 2021」Forrester （2020年10月）
 
Contrast Securityについて
Contrast Securityはアプリケーションセキュリティにおけるリーディングカンパニーです。Webアプリケーションの開発段階でアプリケーションに潜む脆弱性を高精度で解析し、本番環境では外部からの攻撃を迅速に検知しブロックすることが出来ます。特許取得済み技術「ディープセキュリティ・インスツルメンテーション」により、企業はソフトウェア開発ライフサイクル（SDLC）への展開を簡単且つ迅速に実現します。従来の非効率的なアプリケーションセキュリティ（SAST、DASTおよびWAF）から完全に置き換えることにより、時間やコストを消費する脆弱性スキャンの排除やインフラ業務、セキュリティエンジニアのリソースを軽減します。Contrastのアプリケーションセキュリティは、SDLCを加速し、未知の脅威からアプリケーションを保護しながらビジネスの成長を促進します。
 
]]> /release/202101250136 Mon, 25 Jan 2021 13:15:00 +0900 Contrast Security Japan 報道関係者各位   2021年1月25日 Contrast Security Japan合同会社 Contrast Security、チューリッヒ・ノースアメリカ（Zurich North Amer...  
2021年1月25日
Contrast Security Japan合同会社

Contrast Security、チューリッヒ・ノースアメリカ（Zurich North America）のデジタルトランスフォーメーションにおけるセキュリティ強化を支援
 
カリフォルニア州ロスアルトス、2021年1月21日（現地時間）
開発者向けアプリケーションセキュリティを提供するContrast Securityは本日、保険ソリューションと保険サービスの最大のプロバイダの一社であるチューリッヒ・ノースアメリカ（Zurich North America）が、同社のデジタルトランスフォーメーション戦略の重要な要となる開発中のアプリケーションにおけるセキュリティの観点から、Contrast Securityを採用することを発表しました。この提携により、チューリッヒ・ノースアメリカのソフトウェア開発者は、安全なコードをより迅速に書くことができ、セキュリティチームと協力してリスクを軽減することが可能になります。
 
チューリッヒ・ノースアメリカの最高情報セキュリティ責任者（CISO）であるAdam Pageは、次のように述べています。「お客様、サードパーティの協力者、および当社独自のシステム情報を保護することは最優先事項です。当社のアプリケーションはユニークな顧客体験を提供しています。Contrast Security社とのコラボレーションにより、開発の早い段階でソフトウェアコードの問題をリアルタイムで検出、修正しシフトレフトを実現することができます。」
 
Contrast Securityによって保護されたアプリケーションは、チューリッヒ・ノースアメリカの顧客と社員によって使用されます。Contrast Securityは、チューリッヒ・ノースアメリカの開発チームがアプリケーションのセキュリティを自動化および効率化することにより、今日の高度な脅威の状況における課題にリアルタイムで対処することを支援します。チューリッヒ・ノースアメリカのビジネス情報セキュリティ責任者（BISO）であるEsther Speckhartは、次のように述べています。「Contrast Security社は、アプリケーションセキュリティに革新的なアプローチを採用しているため、開発者はよりスムーズに作業し、最大のリスクをもたらすアプリケーションの脆弱性対応に集中することが出来ます。」
 
「チューリッヒ・ノースアメリカのような先進的な保険会社は、顧客体験を改善しビジネスの成長を加速するためにデジタルイノベーションを積極的に推進しています」と、Contrast Securityの最高戦略責任者であるSurag Patelは述べています。「高速開発によりソフトウェアが大幅に増加し、悪意ある犯罪者がソフトウェアへの攻撃に集中するようになったことで、アプリケーションソフトウェアの脆弱性によるリスクが、かつてないほど高まっています。しかしながら、従来のアプリケーションセキュリティによるアプローチでは最新のソフトウェア開発で要求される速度と敏捷性に追いつくことができません。Contrast Securityは、セキュリティの可観測性をソフトウェア開発プロセスに組み込むことにより自動化しアプリケーションセキュリティを変化させます。これにより、誤検出が事実上排除され、開発者は特別なアプリケーションセキュリティのスキルがなくても脆弱性を検出して修正することが可能です。」
 
Contrast Securityについて
Contrast Securityは、コード分析と攻撃阻止の機能をソフトウェアに直接組み込むことにより、最新のアプリケーションセキュリティをリードする企業です。Contrast Securityの特許取得済み技術「ディープセキュリティ・インスツルメンテーション」は、アプリケーションポートフォリオ全体への正確な評価と継続的な保護を提供する統合された包括的なセキュリティ監視機能を備えており、従来のアプリケーションセキュリティのアプローチが完全に無用となります。これにより、悪影響を与えるスキャンや高コストなインフラ業務、そしてセキュリティ専門家の必要性が無くなります。 Contrastのアプリケーションセキュリティは開発サイクルを加速し、効率とコストを改善し、既知および未知の脅威からアプリケーションを保護しながら迅速な拡張を可能にします。
 
チューリッヒ・ノースアメリカ（Zurich North America）について
チューリッヒ・ノースアメリカ（Zurich North America）は、企業や個人への保険ソリューションと保険サービスの最大のプロバイダの一つです。顧客は農業からテクノロジーに至るまでの産業を代表する企業であり、Fortune 500リストにおける90%以上の企業を占めています。チューリッヒは、フーバーダムからコンフェデレーション・ブリッジまで、北米で最も有名な建造物の建設を支援してきました。北米のLEED Platinum®本社はシカゴに所在しています。チューリッヒは北米で約9,000人の従業員、米国とカナダにオフィスが所在しています。
 
 
本プレスリリースは、米国のContrast Securityより配信された英語のプレスリリースを翻訳したものであり、内容の詳細に関しては英語の原文をご参照ください。
https://www.newswire.com/news/contrast-security-empowers-zurich-to-secure-its-digital-transformation-21301166
]]>