エンタープライズセキュリティのContrastが可観測性プラットフォームを立ち上げ

次の記事

Teslaの第3四半期決算がウォール街の予測を大幅に超え9163億7000万円の売上を報告

Contrastは、主に開発者を対象とするアプリケーションのセキュリティ企業で、顧客にはLiberty Mutual InsuranceやNTT Data、AXA、Bandwidthなどがいる。同社は今日(米国時間10/21)、セキュリティの可観測性プラットフォームのローンチを発表した。考え方としてはそれは、開発者がアプリケーションのセキュリティをその全ライフサイクルに亘って一枚のガラス窓から管理できるというもので、リアルタイムの分析と報告、および矯正ツールが伴う。

ContrastのCEOで会長のAlan Naumann氏はこう言う: 「コードが1行増えるたびに、それが安全でなければ企業のリスクは増える。私たちは企業がオートメーションとデジタルトランスフォーメーションのために書いているすべてのコードの、安全確保に集中している」。

これまでの数年間で、資金状態の良い同社は昨年シリーズDで6500万ドルを調達し、大量のセキュリティツールをローンチしてきた。それらは広範囲なユースケースをカバーするツールで、自動化侵入試験ツールやクラウドアプリケーションのセキュリティ、そして今ではDevOpsも対象とする。今回の新しいプラットフォームは、これらすべてを結合する。

同社によるとDevOpsが、そもそもこんなプラットフォームが必要になった原因であり、デベロッパーがプロダクションにプッシュするコードがかつてなく増えていることもその一因だ。そしてそんなコードの安全を確保する責任も、その契機だ。

画像クレジット: Contrast

Naumann氏の説では、従来のセキュリティサービスはコード本体とトラフィックの監視が中心だった。氏は曰く、「私たちの考えでは、今ではアプリケーションのレベルでも、かつてITのインフラストラクチャで用いられていた可観測性の原則が適用される。具体的には、私たちはコードの計装を行い、コードが開発されているときにセキュリティのセンサーをコード中に織り込む。そしてそれによって脆弱性を探し、稼働中のコードを観測する。私たちの見方では、世界でもっとも複雑なシステムは、航空機であれ宇宙船であれITのインフラストラクチャであれ、計装されているときが最良である。コードについても、同じことが言える。つまり弊社のやり方が新しいのは、コードに計装を適用していること。それにより、セキュリティの脆弱性を観測していることだ」。

今度の新しいプラットフォームでContrastは、既存のシステムからの情報を単一のダッシュボードに集める。そしてContrastはコードをその全ライフサイクルにわたって観測するが、デベロッパーがCI/CDのパイプラインでコードをチェックしているときにも必ず脆弱性をスキャンする。Jenkinsのような標準ツールが使われていることが多いので、それができる。なお、そのサービスはオープンソースのライブラリの脆弱性もスキャンする。Contrastの新しいプラットフォームがデプロイされたらそれは、アプリケーションが接続しているさまざまなAPIやシステムを通るデータから目を離さず、そこにあるセキュリティイシューの潜在的可能性もスキャンする。

このプラットフォームは、AWS、Azure、Google Cloudなど大手のクラウドプロバイダーのすべてと、Java、Python、.NET、そしてRubyなど主要な言語とフレームワークのすべてをサポートしている。

画像クレジット: Contrast

画像クレジット: Contrast

[原文へ]
(翻訳:iwatani(a.k.a. hiwa