テストを科学する

2014/07/15

「第3回 じどうかの窓口。セミナー」を開催しました(2014/07/10)

今回は7月10日に開催いたしました「じどうかの窓口。セミナー」第3回の模様をお伝えします。

セミナーの概要とプログラム

第3回は、第2回からのリピートとなる「ソフトウェアテスト自動化のROI」に関する講演と「適材適所のセキュリティ」というテーマでお集まり頂いた各種セキュリティ系ツール・サービスのご紹介の二本立てで行いました。「テストツール」という括りにとらわれず幅広いツール・サービス5つが集まり、盛り沢山のご紹介となりました。

日時 2014年7月10日 15:00-17:15
定員 40名
場所 東京都港区麻布台2-4-5 メソニック39MTビル 11F 株式会社SHIFT
費用 無料
プログラム ・ご挨拶、じどうかの窓口。のご説明(株式会社SHIFT 保科秀之)
・ソフトウェアテスト自動化のROI(株式会社SHIFT 太田健一郎)
・既に500社が『簡単に』取り組むセキュア・プログラミング〜それを支えるソースコード静的解析ツール〜(株式会社インテリジェントウェイブ様)
・特許取得!本番データをセキュアなテストデータに『簡単』変換(株式会社システムエグゼ様)
・100ページ18万円から始める世界最高峰ツールのWEBアプリケーション・セキュリティ診断(株式会社SHIFT 保科秀之)
・手動セキュリティ診断サービス(株式会社アピリッツ様)
・月額4万円から始める日本初!クラウド型サーバセキュリティ(IPS+WAF) (株式会社アミティエ様)

ソフトウェアテスト自動化のROI

テスト自動化のROI第2回のメインコンテンツとなっていた「ソフトウェアテスト自動化のROI」を再演という形で自動化コンサルタントの太田よりお話させていただきました。このトピックは先日の「Asian Automation Alliance 〜自動化を語り合おう!」カンファレンスでもお話をしたため、今回が3回目となり内容も少しずつブラッシュアップされています。
前回は連載途中だった@ITの「テスト自動化のROIを計算してみよう」も先日無事最終回を迎え、こちらでもほぼ同じ内容をご紹介しておりますのでご興味のある方はぜひご覧ください。

既に500社が『簡単に』取り組むセキュア・プログラミング〜それを支えるソースコード静的解析ツール〜

インテリジェントウェイブ様後半は今回の2つめのテーマ「セキュリティ」に関する5連続のツール・サービス紹介です。
トップバッターとして、株式会社インテリジェントウェイブ様よりCheckmarx社製のセキュリティに強い静的解析ツール「CxSuite」のご紹介を頂きました。CxSuiteの特徴は、コンパイル前のコードでも断片的なコードでも解析できるため開発の初期から手軽に導入できる点にあります。一般的に下流工程での脆弱性発見、修正コストは上流工程に比べて15~90倍となると言われているため、セキュリティやパフォーマンス等の問題は発見が早ければ早いほど有利になります。
バッチ起動からJenkins等のCIツールと連携させて使うことも可能です。今回のお話では、実際にCxSuiteとJenkinsを組み合わせて使うための設定や結果の見え方についてもご紹介頂きました。

特許取得!本番データをセキュアなテストデータに『簡単』変換

システムエグゼ様次に、株式会社システムエグゼ様より本番データの個人情報を簡単にマスクしてテストデータを作成するツール「テストエース」についてお話を頂きました。パフォーマンステスト等を行う際にはなるべく本番データに近いものを用いたいですが、その際情報のマスクは非常に面倒な作業です。テストエースを使うと、様々なロジックを使って個人情報のマスクを行うことができ、しかも変換の際にテーブル間のリレーションは保持することができます。導入事例では、このツールを使って約70%のデータ作成工数削減に成功した例を紹介頂きました。

100ページ18万円から始める世界最高峰ツールのWEBアプリケーション・セキュリティ診断

セキュリティ診断続いては弊社営業部マネージャーの保科より、ツールを用いたWEBアプリケーションの診断サービスについてご紹介しました。このサービスはIBM社のグローバルなセキュリティ研究機関「X-FORCE」のノウハウが詰まった診断ツール「Rational AppScan」をベースとし、100ページ18万円〜と比較的安価にSQLインジェクションやクロスサイトスクリプティング等の基本的なセキュリティ脆弱性診断が出来るサービスです。
近年WEBアプリケーションに対する不正攻撃検知数は急激に増加しており、気づかないうちに情報が流出→取引先に多大な迷惑をかけてしまうということもあり得ます。まずはツールによる診断から始め、この後のより詳細な手動の診断やセキュリティ向上ツールの導入などにつなげていく動きが今後は必須になってくると言って良いでしょう。

手動セキュリティ診断サービス

アピリッツ様「自動化ツール」という範囲からは少し外れますが、どうしても自動だけではカバーできない細かい部分・原因分析等で専門のエンジニアによる手動診断が必要な場合もあります。ツールを使うと低コストで大量のページの診断が行えるため、まずは浅く調査してさらに深い解析が必要な場合はアピリッツ様のセキュリティ診断が活躍します。診断内容は大きくWEBアプリケーション診断・プラットフォーム診断(サーバやネットワークに関する診断)・スマートフォンアプリケーション診断に分かれており、診断だけでなく改善策の提示や1ヵ月以内であれば再診断も受けることができます。

月額4万円から始める日本初!クラウド型サーバセキュリティ(IPS+WAF)

アミティエ様ツール・サービス紹介の最後は、株式会社アミティエ様よりクラウド型サーバセキュリティツール「攻撃遮断くん」のご紹介を頂きました。「攻撃遮断くん」は、外部公開サーバへのセキュリティ攻撃を簡単な設定かつ安価で防止できるツールです。クラウド型という言葉が示す通り、攻撃遮断くんを使用している全サーバの受けた攻撃情報を把握しており、1つのサーバが攻撃を受けるとその情報を他のサーバでも瞬時に共有して遮断する「連動型防御機能」がいちばんの特徴です。その他、導入時のサーバ停止が不要・ユーザ側の運用作業が不要なため専門の技術者が不要など利便性の高い特徴が多数あります。セキュリティ対策は専門知識が必要なためつい後回しになってしまうことも多いですが、今後はこういった手軽なツールにお任せするという方法も増えてくるのではないでしょうか。


今回は大型台風の上陸が予想される中、なんと事前にお申し込み頂いたお客様の95%がご来場くださり大変有意義な回となりました。ご紹介したツールに関してご興味のあるお客様は、ぜひ「じどうかの窓口。」のお問い合わせページよりお問い合わせください。
「じどうかの窓口。セミナー」次回は、静的解析ツールをテーマに8月後半〜9月の開催を予定しております。開催が決まり次第こちらのサイトでもご紹介していきますので、楽しみにお待ちください。

じどうかの窓口。公式サイトには随時新しいツールの情報を追加しております。ぜひご覧ください。

ソフトウェアテストに関するお悩みなど、まずはお気軽にお問い合わせください。

  • お問い合わせフォーム【お問い合わせはコチラ】
  • 電話でのお問い合わせ【0120-142-117】