エンタープライズセキュリティのContrastが可観測性プラットホームを立ち上げ

Contrastは、主に開発者を対象とするアプリケーションのセキュリティ企業で、顧客にはLiberty Mutual InsuranceやNTT Data、AXA、Bandwidthなどがいる。同社は今日(米国時間10/21)、セキュリティの可観測性プラットホームのローンチを発表した。考え方としてはそれは、開発者がアプリケーションのセキュリティをその全ライフサイクルに亘って一枚のガラス窓から管理できるというもので、リアルタイムの分析と報告、および矯正ツールが伴う。

ContrastのCEOで会長のAlan Naumann氏はこう言う: 「コードが1行増えるたびに、それが安全でなければ企業のリスクは増える。私たちは企業がオートメーションとデジタルトランスフォーメーションのために書いているすべてのコードの、安全確保に集中している」。

これまでの数年間で、資金状態の良い同社は昨年シリーズDで6500万ドルを調達し、大量のセキュリティツールをローンチしてきた。それらは広範囲なユースケースをカバーするツールで、自動化侵入試験ツールやクラウドアプリケーションのセキュリティ、そして今ではDevOpsも対象とする。今回の新しいプラットホームは、これらすべてを結合する。

同社によるとDevOpsが、そもそもこんなプラットホームが必要になった原因であり、デベロッパーがプロダクションにプッシュするコードがかつてなく増えていることもその一因だ。そしてそんなコードの安全を確保する責任も、その契機だ。

画像クレジット: Contrast

Naumann氏の説では、従来のセキュリティサービスはコード本体とトラフィックの監視が中心だった。氏は曰く、「私たちの考えでは、今ではアプリケーションのレベルでも、かつてITのインフラストラクチャで用いられていた可観測性の原則が適用される。具体的には、私たちはコードの計装を行い、コードが開発されているときにセキュリティのセンサーをコード中に織り込む。そしてそれによって脆弱性を探し、稼働中のコードを観測する。私たちの見方では、世界でもっとも複雑なシステムは、航空機であれ宇宙船であれITのインフラストラクチャであれ、計装されているときが最良である。コードについても、同じことが言える。つまり弊社のやり方が新しいのは、コードに計装を適用していること。それにより、セキュリティの脆弱性を観測していることだ」。

今度の新しいプラットホームでContrastは、既存のシステムからの情報を単一のダッシュボードに集める。そしてContrastはコードをその全ライフサイクルにわたって観測するが、デベロッパーがCI/CDのパイプラインでコードをチェックしているときにも必ず脆弱性をスキャンする。Jenkinsのような標準ツールが使われていることが多いので、それができる。なお、そのサービスはオープンソースのライブラリの脆弱性もスキャンする。Contrastの新しいプラットホームがデプロイされたらそれは、アプリケーションが接続しているさまざまなAPIやシステムを通るデータから目を離さず、そこにあるセキュリティイシューの潜在的可能性もスキャンする。

このプラットホームは、AWS、Azure、Google Cloudなど大手のクラウドプロバイダーのすべてと、Java、Python、.NET、そしてRubyなど主要な言語とフレームワークのすべてをサポートしている。

画像クレジット: Contrast

画像クレジット: Contrast

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。