OWASPベンチマークで高得点を獲得

100%の精度

MAGAZINE誌によるCONTRAST SECURITYのレビュー


CSO From IDG Logo"Contrast Security は最高レベルのアプリケーションセキュリティソリューションを提供しています。OWASP セキュリティベンチマークで 100% の精度を出した理由が解ります。" - ジョン・ブリーデン2世

Contrast Securityに関する評価を記載した CSO のレビューをご一読ください。

Read the CSO review

SASTおよびDASTの弱点が明らかに

Contrast Securityが実施した ベンチマークテストの結果は目覚ましいものでした。市場でトップクラスの SAST (静的アプリケーションセキュリティテスト) 製品で精度のスコアは 43%、最下位のスコアは 17% でした。DAST (動的アプリケーションセキュリティテスト) 製品でも結果は同様に衝撃的で、最も良かったスコアが 17%、最下位は 1% でした。

OWASP Benchmark project graph showing Contrast Assess success vs SAST and DAST tools

ベンチマークの正確性スコア

セキュリティベンチマークとは、2,740 件のセキュリティ課題を盛り込んだ、無償でオープンなアプリケーションセキュリティテストスイートです。 このうち 1,415 件は対象ツールが検出しなければならない脆弱性ですが、1,325 件は実際には存在しないのに脆弱性と判断してしまう脆弱性 (誤検出) です。


SAST と DAST では脆弱性対策は不十分

ここ 10 年余り企業は SASTやDAST によりアプリケーションのセキュリティ対策を実施しコンプライアンス要件を満たそうとしてきました。2015 年の OWASPベンチマークプロジェクトは、既存の SAST や DAST ソリューションでは企業は攻撃に対して無防備と報告しています。

CONTRAST ASSESS (IAST) がベンチマークで首位に

Contrast Assess のような IAST (インタラクティブ・アプリケーション・セキュリティ・テスト) ソリューションは、実行中のアプリケーションと連携し、運用状況を完全に把握した上でセキュリティを評価します。OWASP ベンチマークはこのアプローチが何倍も正確であるだけでなく、デプロイも迅速かつ容易に出来ることが明確になりました。 false-sense-of-application-security

アプリケーションセキュリティを再考

OWASP ベンチマークプロジェクトは、誰でもが現行ソリューションの評価に使用することができます。Contrast Assess は既存の SAST や DAST ソリューションの強化や、リプレースを検討する際の選択肢です。現在お使いのアプリケーションセキュリティのベンダーに、ベンチマークの結果を尋ねた上で Contrast Securityの担当者から 弊社のベンチマーク結果を詳しくお聞きください。

Download the Technical Brief

 
ベンダー比較: OWASP ベンチマークスコアの解釈

貴社でお使いのアプリケーションセキュリティのベンダーには、必ず OWASP ベンチマークテストの「正確性スコア(Accuracy Score)」を尋ねるようにしてください。正確性スコアは全体像を提供します。ベンダーは、「検出スコア(True Positive Score)」を自社スコアだと主張したがるかもしれませんが、それでは全体像が判明しません。OWASP ベンチマークの正確性スコアは、検出と誤検出を組み合わせて製品の真の正確性を測定します。

ベンチマークスコアの算出方法

OWASP ベンチマークは、TPR (検出率) から FPR (誤検出率) を引いて製品の全体としての正確性スコアを算出します。このため正しく脆弱性報告を差引勘定できます。100% というパーフェクトな正確性スコアは、製品の TPR が 100% でFPR が 0% のときに発生します。

例えば、複数の脆弱性をもつアプリケーションがあり、次の 3 つのアプリケーション・セキュリティ・テスト製品があったと想像してみてください。(1) あるアプリケーション・セキュリティ・テスト製品は何もしません。そのため、そのアプリケーション内で脆弱性を発見せず、誤報も発報しません。この場合 TPR は 0%、FPR も 0% であるため、ベンチマークのスコアは 0% となります。 (2) 別のアプリケーション・セキュリティ・テスト製品は、すべてのコード行や web ページに脆弱性を 1 個検出します。すると、すべての脆弱性を発見するため、この製品の TPR は100% となりますが FPR も 100% であるため、ベンチマークテスト上のスコアは 0% になります。(3) 3番目のセキュリティテスト製品の TPR とFPR が同じだった場合、この製品は実質的に推量をしていることになります。この製品もスコアは 0% になります。

Contrast Securityにおいては、最新のOWASPベンチマークテスト で 、TPR が 100%、FPR は 0% でした。TPR を FPR から引いて得られた Contrast Assess のスコアが 100% です。

オープンソースとベンダーニュートラル

ベンチマークプロジェクトは、OWASP の無償でオープンの原則に忠実に従うものです。誰でもプロジェクトのリソースをダウンロードして使用し、レビューし、プロジェクトに貢献することができます。最初のベンチマークリソースは現時点で、テストケースほぼ 3000 件を 11 の脆弱性カテゴリにわたって提供するアプリケーションです。テストケースには実際の脆弱性も、誤検出チェック用の脆弱性に似せたシナリオも含まれています。ベンチマークプロジェクトには、このテスト用アプリケーションだけでなく、テスト対象のアプリケーションセキュリティ製品のアウトプットを平準化して、正確性スコアを計算するツールも含まれています。

Contrast Securityはアプリケーションセキュリティにおけるリーディングカンパニーです。Webアプリケーションの開発段階でアプリケーションに潜む脆弱性を高精度で解析し、本番環境では外部からの攻撃を迅速に検知しブロックすることが出来ます。 
特許取得済み技術「ディープセキュリティ・インスツルメンテーション」により、企業はソフトウェア開発ライフサイクル(SDLC)への展開を簡単且つ迅速に実現します。従来の非効率的なアプリケーションセキュリティ(SAST、DASTおよびWAF)から完全に置き換えることにより、時間やコストを消費する脆弱性スキャンの排除やインフラ業務、セキュリティエンジニアのリソースを軽減します。Contrastのアプリケーションセキュリティは、SDLCを加速し、未知の脅威からアプリケーションを保護しながらビジネスの成長を促進します。