サーバーレス環境に特化した
アプリケーションセキュリティ
コードやオープンソースの脆弱性、権限設定の問題を正確に検出
AWS Lambdaで包括的なアプリケーションの可観測性を実現。カスタムコードの脆弱性、オープンソースのCVE、最小権限構成ではない箇所を検出。
新たな脆弱性を継続的に監視
サーバーレス環境にデプロイされる全ての変更をほぼリアルタイムで監視・検査し、開発者やセキュリティ担当に脆弱性の情報(コード、設定、依存関係、フロー)を提供。
開発者からAppSec担当まで
使い易い操作性
AWSアカウントに接続後、3クリック(数分以内)で検査が完了、検出結果の参照が可能。導入後は、アプリケーションセキュリティの専門家・担当者が継続的に管理する必要なし。
サーバーレス環境のランタイム保護に取り組むスタートアップ企業をいくつか見てきましたが、Contrastは開発パイプラインでサーバーレスにセキュリティを提供できる最初の企業だと思います。サーバーレス環境のセキュリティは重要なのに、これまではほとんど対処方法がありませんでした。最小権限の実装状況を把握できることも大きな特長です。
リック・ターナー
サイバーセキュリティ担当主任アナリスト


Log4jに対応するContrast Serverless
Contrast Serverlessは、どのLambda関数にLog4jの脆弱なバージョンが含まれているかを検出するだけでなく、脆弱性が悪用されたかを検証して、緊急に対処が必要な関数を特定する事もできます。
グラフによる可視化
アプリケーションの関数とサービスの関係を表す、インタラクティブなグラフを作成します。
グラフ内で関数をクリックすると、脆弱性の情報やグラフの各要素に関する詳細を参照できます。各関数のトリガー設定に対するセキュリティスコアも算出されます。
表示の切り替えは簡単で、サービス毎にグループ化したり、グラフに表示したいサービスも有効/無効にすることで自由に設定できます。


動的スキャン
テスト環境に導入されるアップデートに基づき、カスタマイズされた動的なセキュリティ検査がリアルタイムで自動的に開始します。手作業による方に比べて、診断テストが大幅に効率化されます。
動的スキャンは、OWASP Top10のベンチマークを基準とし、SQLインジェクション、コードインジェクション、コマンドインジェクション、ローカルファイルインクルードなどを判定します。
リソースの可観測性
テスト環境内の全てのリソース(S3バケット、API Gateway、DynamoDBなど)およびリソースの関係を、1セッションあたり数分で自動的に検出します。


静的スキャン
関連する静的コードと設定を自動的に検査し、ほぼリアルタイムで新たな脆弱性を検出します。検査結果には、コンテキストに合わせた脆弱性の対処方法も提供します。
検査対象には、サーバーレスワークロード内の最小権限構成の脆弱性(受容可能な権限範囲を超えている関数)、インジェクション攻撃可能な脆弱性、Contrast独自のオープンソースセキュリティエンジンを使用したオープンソースソフトウェアの脆弱性などがあります。
Contrast Servelessに関する資料

製品資料: Contrast Serverless
サーバーレスアプリケーションの脆弱性を内部から解析することで、精度の高い診断結果を得ることができます。製品の主な機能と利点について紹介します。

レポート: サーバーレスアプリケーションの拡張とセキュリティを素早く簡単に
フォレスター(Forrester)の調査によると、来年までに25%の開発者がサーバーレスを使用すると予測しています。しかしながら、従来のアプリケーションセキュリティテストツールでは、サーバレスアプリケーションをサポートするための拡張性や、求められるスピードや速度に対処できません。

ブログ: サーバーレスアプリケーションの大きな可能性を示すContrastの調査結果
クラウドネイティブ開発モデルは急速に主流になりつつあり、サーバーレスによる開発はトレンドの最前線にあります。デジタルトランスフォーメーション(DX)の他の側面と同様に、この傾向は、企業と顧客の関わり方が大きく変化を遂げた過去2年間で加速しています。

レポート: サーバーレスアプリケーションセキュリティの現状
サーバーレステクノロジは、ソフトウェア開発のライフサイクルから障壁を取り除くための次のステップです。スピード、拡張性、柔軟性、コスト効率の全てがメリットとして挙げられます。ただし、従来のアプリケーションセキュリティでは、サーバーレスアプリケーションに対応できないことを、調査結果でも裏付けています。

Log4jへの攻撃からサーバーレスアプリケーションを保護
Contrast Serverlessは、Log4jの脆弱なバージョンがあるLambda関数を検出するだけでなく、これらの関数がLog4Shellに対して脆弱であるかどうかを検証することもできます。

ブログ: サーバーレスアプリケーション開発者が使い易いセキュリティ対策
サーバーレスアプリケーションの利点を活用するためには、目的に応じて、迅速で正確アプリケーションテストが必要です。Contrast Serverlessは、サーバーレスアプリケーションに特化したソリューションで、従来の非効率性をなくして、セキュリティの問題に対して精度の高い検査結果を得ることができます。

ブログ: サーバーレスアプリケーションセキュリティの現状、技術革新のスピードとのギャップ
Contrastのブログの読者にとって、この2年間でサーバーレスでの開発が主流になったことは周知の事実です。この傾向の理由は明らかで、サーバーレスアプリケーションは、アプリケーションの開発から本番稼動までのサーバーインフラを維持する負担を取り除くことで、リリースサイクルの短縮、ビジネススピードの向上、コスト削減を可能にするからです。