■アプリケーションの構造（ソースコード）の点検

車で例えると、ブレーキの効き目を検査するのに、ドライバーが車を試乗しブレーキペダルを踏んで効き具合を検査するのがWebアプリケーション診断サービス（いわゆるブラックボックステスト）で、ブレーキパッドが擦り減っていないか、ブレーキオイルが目減りしていないか検査するのがソースコード診断サービス（いわゆるホワイトボックステスト又はグラスボックステスト）に該当します。

■ブラックボックステストと比較した場合のメリット

• 稼働中のWebアプリケーションへの動的な攻撃検査と違い、ソースコードの論理的な静的検査であるため、不正データの挿入やWebページの改竄のようなシステムへの影響がなく、安全に診断することができます。

• プログラムの根本であるソースを直接解析し、「危険なデータを無効化しているか」というような検査をするため、問題の原因個所を特定できます。

• 特にアプリケーション開発（施工）業者にとっては、ダイレクトに問題点を把握することができ、どこをどのように修正すれば良いか特定するための工数を削減できます。

• アプリケーションの誤動作や極めて限定的な条件でしか発生しない問題（例えばサーバーディスクリソースが枯渇した場合のエラー処理のコードに脆弱性の問題があるか等）を検出することができます。

• HTTPを経由した攻撃だけではなく、サーバー設定ファイルやDBのデータを悪意あるコードに改ざんする等、内部者やバックドアからの攻撃に対しての脆弱性も検出することができます。
  従って、悪意あるコードをエスケープするサニタイジング対策を悪用したセカンドオーダーSQLインジェクションの対策不備もSQLインジェクションとして検出可能です。

• セキュリティの問題点だけではなく、「リソースの開放漏れ」や「メモリーの競合」などアプリケーションの可用性、信頼性を損なう問題も検出することができます。

高い検査精度

• 世界で最も評価の高いソースコード解析ツール「FORTIFY 360 SCA」を使用。
  検出に使用されるルールは実に6万以上と幅広いカバレッジを有し、奥の深い検査精度が特徴です。

• 脆弱性の検出アルゴリズムは、観点の異なる５つのエンジンを採用し、単なるパターンマッチングではなく、データの流れや制御の流れを追って、論理的に脆弱性を検出します。

• 更に、弊社技術者による結果分析を組み合わせ、精度の高い検査結果をご報告致します。
  ※（クイック　タイプは除く）

最新の脆弱性に対応

• 検査に用いるルールは、HP社のセキュアプログラミングの専門エキスパートが最新のセキュリティに関するノウハウを研究し、継続的に拡張・更新しています。

分かり易い診断レポート

• リスクの大きさ、優先度について、4つのレベルに問題点を振り分けます。

• 問題点の原因個所をファイル名・行番号で明示します。

• 問題別に対策方法例を提示します。

複数言語の対応

• 複数の言語で構成されるアプリケーションも、異なる言語間で流れを追い、論理的に脆弱性を検出します。

網羅性、統一性

• ホワイトボックステストによる網羅的で統一されたソースコードチェックを提供します。

大規模システムも短時間で検査

• ツールを用いることで、人手では不可能な何万、何百万のソースコード全体を短時間に検査します。
  検査による開発日程への影響を最小限にすることにつながります。