アプリの脆弱性発見に有効なSASTツール、スキャン後の膨大な監査時間をどうする

　開発するアプリケーションやソフトウェアの品質を担保するためには、機能面だけでなくセキュリティ面に関するチェックも入念に行う必要がある。そのため、総務省がソースコードの静的解析を推奨していることもあり、静的アプリケーションセキュリティテスト（SAST）ツールを導入している企業は多い。

　しかし、アプリケーションの脆弱性を発見する上で有効なSASTツールには、厄介な側面もある。それは開発チームやセキュリティチームが静的スキャンの診断結果を確認し、アプリケーション固有の環境などを考慮して悪用の可能性を判断するために費やす監査時間が、膨大なものになってしまうことだ。

　そこで注目したいのが、本資料で紹介する機械学習を使った自動監査機能だ。同機能は監査にかかる時間を大幅に削減するだけでなく、攻撃に利用される可能性のある診断結果を平均97％の高精度で予測可能にするという。監査時間を58％削減したユーザーをはじめ、複数の活用事例も紹介しているので、監査工数に課題を感じている企業はぜひ参考にしてほしい。