テクマトリックスは2009年8月4日,Javaアプリケーションのソースコードを検証して,セキュリティ上の問題を指摘するツール「Jtest Security」の販売を開始した。米Parasoft製のJavaテスト・ツール「Jtest」のうち,セキュリティの検証に利用する機能を抜き出して価格を抑えた。クロスサイト・スクリプティングやSQLインジェクションといったアプリケーションの脆弱性を開発段階で効率的にチェックできる。
テクマトリックスの由利孝代表取締役社長は,「Jtestは国内で4000ライセンス以上を出荷しているが,コード・レベルでセキュリティを向上させたいというニーズが高まっている。加えて,Jtestのセキュリティに関する解析ルールが充実してきたので,セキュリティにフォーカスしたこの製品をリリースした」と発売の背景を説明する。
Jtest Securityの特徴は,業界標準やセキュリティ関連の組織が公開する脆弱性について効率的に検証するルール・セットが用意されていること(図)。具体的にはクレジット・カード業界が策定したセキュリティ対策基準「PCIDSS(要件6)」,非営利組織OWASP(Open Web Application Security Project) Foundationの「OWASP Top 10 Security Vulnerabilities」,SANS InstituteとCWE(Common Weakness Enumeration)による「CWE-SANS Top 25 Most Dangerous Programming Errors」などがある。Parasoft独自のルール・セットも複数用意した。
ソースコードの脆弱性は,静的解析とフロー解析という二つの機能で検証する。静的解析では,あらかじめ定義したコーディング・ルールに則っているかをパターン・マッチングで調査。ユーザーがカスタマイズしたルールを作成することも可能である。フロー解析は,Jtestで「バグ探偵」と呼ぶ機能。複数のクラスおよびパッケージにまたがる実行パスを解析して問題を検出する。セキュリティ以外にも,リソース・リークや例外,バグに関する問題を検出できる。
そもそもバグ探偵は,Jtest Server Edition(210万円)でしか利用できなかったセキュリティ検証機能。Jtest Securityではこの機能を120万円で利用できる点は興味深い。加えて,2009年12月31日までは発売記念キャンペーンとして99万8000円で購入可能。ただし,コマンドラインを使用したテストのバッチ処理機能などは含まれていないので,テストの自動化を行うときは,オプションとして購入する必要がある。
製品構成として,IDE(統合開発環境)のEclipseに組み込んだスタンドアロン版と,手持ちのIDEに組み込むためのプラグイン版がある。プラグイン版ではIDEとして,Eclipseのほか,JBuilder,IBM Rational Application Developer,Sun Microsystems JREを利用できる。稼働OSはWindows,Linux,Solarisで,それぞれに対応した製品がある。
テクマトリックスでは,製品と関連して,コーディング・ルール選定支援サービス,カスタム・コーディング・ルール作成サービスなどのコンサルティングや環境構築支援サービスも提供する。
