News

ソフトウェア品質を創造するベリサーブ
ソースコード/APIファジングツール「Mayhem」の提供を開始
さらに、ファジングに関するオンラインセミナーも開催決定

~ファジングのシフトレフトにより、ソフトウェア開発の効率化と堅牢性の向上を実現~

ソフトウェアの品質創造の力でイノベーションを加速する株式会社ベリサーブ(本社:東京都千代田区、代表取締役社長:新堀 義之、以下「ベリサーブ」)は、米国ForAllSecure, Inc. (本社:米国ペンシルベニア州、最高経営責任者:David Brumley、以下「ForAllSecure社」) が開発したソースコード/APIファジングツール「Mayhem(メイヘム)」の提供を2023年9月20日(水)より開始します。
また、本製品の提供開始に合わせ9月27日(水)に、ファジングについてのオンラインセミナーを開催予定です。ForAllSecure社のエンジニアを講師に迎え、OSSの例を用いた解説およびデモンストレーションをご紹介します。

「Mayhem」について

Mayhem
ベリサーブ

背景

ファジングは、通信系、制御系をはじめ、広範囲に活用できるセキュリティテスト手法の一つです。ファズ(fuzz)と呼ばれる通常想定されていない「不正データ」「予期せぬデータ」「ランダムなデータ」を対象の製品・システムに与え意図的に例外を発生させ、潜在的なバグ・脆弱性を検出し、テストします。
当社では過去の検証プロジェクトで培った経験と検証技術を活かして、お客様にとって最適な方法でファジングを実施しています。今回ファジングツールとして加えた「Mayhem」は、開発段階からファジングを行うことができるため、開発者の負担軽減や工数削減を図り、バグや脆弱性を検出する網羅的なテストを実現させ、ソフトウェアの品質と堅牢性の向上に貢献します。

ファジング(Fuzzing)とは

「Mayhem」について

ソースコード/APIファジングツールMayhemは、ForAllSecure社によって開発された、先進的な自動化ファジングツールです。本製品は、欠陥を特定するための何千ものテストケース(ファズ)の生成と実行を自動化させることが可能です。
Mayhem はDevSecOpsを念頭に置いて開発されていますので、さまざまなCI/CDツールと連携することも可能です。ソースコードとAPIの2種類のファジング機能があり、ソースコードファジングは組み込み関連開発に、APIファジングはWeb開発に適しています。
また、Mayhemを導入いただく際には、ベリサーブのソフトウェア検証のノウハウやファジングの実績を活かした導入サポートも提供します。

<特長>

(1)自動化されたファジングができる

Mayhemを使用することで、ファジングのプロセス全体が自動化され、開発者はセキュリティの問題に効率的に対応することが可能となり、ソフトウェア品質や開発スピードの向上が実現できます。

(2)開発工程の早期段階で欠陥を早期に発見できる

Mayhemのファジング技術により、ソースコードのセキュリティ脆弱性をソフトウェア開発の初期段階で見つけることができます。これにより、修正コストを大幅に節約することができます。

(3)GitHubやJenkinsなどの既存の開発ツールに簡単に統合できる

MayhemのAPIファジングは、ソフトウェア開発で広く使われている既存の開発ツールやプロセスとの柔軟な統合が可能です。ソフトウェアの品質とセキュリティを担保すると同時に、開発のスピードを向上させることができます。

<機能>

(1)ソースコードファジング

ソースコードに問題を起こしそうなデータ(ファズ)を入力し、ソフトウェアの脆弱性を自動的に検出します。Mayhemは、カーネギーメロン大学の研究から得た特許技術であるシンボリック実行(Symbolic execution)技術を用いてファズデータの生成と実行を自動化させることで、高速かつ大規模、また高い精度の欠陥を検出します。

【ソースコードファジングの機能】
・ファジングの進行状況と検出された欠陥をリアルタイムで確認できます。
・見つかった欠陥情報のサマリーをダッシュボードで確認できます。
・実行したテストケースの一覧で確認することができます。

ソフトウェアの脆弱性を自動的に検出

ソースコードファジングの利用イメージ

(2)APIファジング

OpenAPIのようなAPI仕様をもとに、各エンドポイントに対するファジングを行います。このテストでは各APIが予期せぬ入力や異常なデータに対してどう反応するかを調査し、その結果を通じてAPIの脆弱性や欠陥を特定します。

【APIファジングの機能】
・OpenAPIのようなAPI仕様をもとに、それらの各エンドポイントに対するファジングを実行します。
・問題を起こしそうなデータをAPIエンドポイントに供給し、その結果を監視することでサーバーエラーや脆弱性を検出します。
・開発ライフサイクルを通じて連続的なテストを提供し、新たなバグや脆弱性が追加されるたびに即座に通知します。

ソフトウェアの脆弱性を自動的

APIファジングのご利用イメージ

9月27日開催「セキュリティソリューションセミナー」について

ファジング活用の動向や多様なビジネス環境のセキュリティ品質を支える当社の取り組み、およびソフトウェア開発の効率化と堅牢性の向上に貢献するソースコード/APIファジングツール「Mayhem」をご紹介するオンラインセミナーを9月27日(水)に開催いたします。
「Mayhem」の開発元であるForAllSecure社からAlex Brewer氏をお招きし、製品概要やツールの活用方法についてデモンストレーションを交え詳しくご紹介いたします。

セキュリティソリューションセミナー


名称 未知の脆弱性検出とテストカバレッジを最大化
~ソースコード/APIファジングツール「Mayhem」のご紹介~
日時 2023年9月27日(水) 15:00 ~ 16:30
(申込受付期間は9月26日(火)の9:00までとなります。お早めにお申し込みください。)
会場 オンライン開催
参加費 無料
対象者 ・ソフトウェア開発者、またはセキュリティ担当、品質管理担当の方
・ソフトウェア開発におけるセキュリティ対策に取り組まれている方
・ソースコードファジングにご関心のある方
・「Mayhem」の詳細説明やデモをご希望の方 など

本件に関するお問い合わせ

【製品・サービスに関するお問い合わせ先】
株式会社ベリサーブ
ソリューション事業部 サイバーセキュリティ第一課
E-MAIL:mayhem@veriserve.co.jp

【ニュースリリースに関するお問い合わせ先】
株式会社ベリサーブ
広報・マーケティング部 広報・宣伝課 西村、竹原
TEL:050-3640-7964
E-MAIL:vs.marketing@veriserve.co.jp