NRIセキュアテクノロジーズの「セキュアアプリケーション設計レビュー」は、開発中のアプリケーションを対象に、セキュリティの観点からレビューを実施し、改善策を提案するサービスである。上流工程の要件定義や設計の段階でレビューを実施できるので、セキュリティの問題を早期に洗い出せる。

セキュアアプリケーション設計レビューおよび周辺サービスの対象と手戻り発生時の修正対応コストの関係
(出所:NRIセキュアテクノロジーズ)
[画像のクリックで拡大表示]

 サービスを提供する背景には、新しいアプリケーションの開発にあたって、新しい要素技術を採用し、サービス開始を急ぐあまり開発を突貫で進めているケースが増えている事情がある。脆弱性の修正のためにリリースが延期になったり、リリース後に情報漏えいや不正アクセスなどのインシデントが発生したりする。

 同サービスでは、NRIセキュアテクノロジーズのエンジニアがWebアプリケーションをレビューする。設計資料を評価するほか、設計資料を作成していない要件定義の段階においても、担当者へのヒアリングや設計会議への参加を通じてレビューする。

 診断項目として、ユーザー認証方式、セッション管理方式、アクセス制御方式、暗号化方式、対象サイト固有のビジネスロジック、対象サイトで使っている製品固有の脆弱性などを調べる。

 セキュリティの脆弱性に対する対応策も提案する。対象のシステムや業種に即した攻撃トレンドとインシデント事例を考慮したうえで、実効性の高い対策を提案する。

セキュアアプリケーション設計レビューの概要
用途と機能開発中のアプリケーションを対象に、セキュリティの観点からレビューを実施し、改善策を提案するサービス
特徴上流工程の要件定義や設計の段階でレビューを実施できるので、セキュリティの問題を早期に洗い出せる
サービスの概要NRIセキュアテクノロジーズのエンジニアがWebアプリケーションをレビューする。設計資料を評価するほか、設計資料を作成していない要件定義の段階においても、担当者へのヒアリングや設計会議への参加を通じてレビューする
脆弱性への対応策対象のシステムや業種に即した攻撃トレンドとインシデント事例を考慮したうえで、実効性の高い対策を提案する
レビューの対象診断項目診断内容
アプリケーション仕様対象サイトに固有のビジネスロジックについて、悪用の危険性を確認する
ユーザー認証方式ID/パスワードの書式やアカウントロック、リマインダ機能などの設計方式をインタビューし、パスワードの推測・総当り攻撃などへの考慮が十分であるか確認する
セッション管理方式独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により、別ユーザーになりすまされる危険性がないか確認する
アクセス制御方式閲覧権限がない情報を不正に閲覧できない設計がなされているか確認する
暗号化方式重要情報を通信経路上で暗号化しているか、暗号強度は十分かなどを確認する
製品固有の脆弱性対象サイトで利用している各種コンポーネント(製品)に関わる脆弱性有無を調査する
価格個別見積もり
発表日2020年11月26日(要件定義など上流工程でのレビュー)
提供開始日2020年11月26日(要件定義など上流工程でのレビュー)