GSX、開発上流工程でセキュリティ観点で設計書をレビュー | ScanNetSecurity
2021.10.25(月)

GSX、開発上流工程でセキュリティ観点で設計書をレビュー

グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。

製品・サービス・業界動向 新製品・新サービス
 グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。

 同社の新サービス「脆弱性診断設計書レビュー」は、顧客所有の設計書をベースに必要に応じて顧客にヒアリングを実施、「セキュリティ要件が適切に考慮されているか」という観点からGSXの専門エンジニアが分析し、顧客環境を考慮した最適な報告・助言・提言を行う。

 顧客のWebアプリが現在も開発中であれば、影響や手戻りが大きい脆弱性の代表格である「なりすまし」「権限昇格」に絞った設計書レビューを実施する。Webアプリ開発の上流工程から各工程のセキュリティ対策を適切に行うことで、工程を逆行する戻り作業が減少、セキュリティに関する改修コストの削減、Webアプリ開発の全工程において有効な脆弱性対策が施された、セキュリティ強度の高いシステム開発が実現できる。

 同サービスでは、対象サイトに固有のビジネスロジックについて悪用の危険性を確認する「アプリケーション仕様」、ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるかを確認する「ユーザ認証方式のレビュー」、独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により別ユーザになりすまされる危険性がないか確認する「セッション管理方式のレビュー」、権限の無い情報を不正に閲覧されないための設計がなされているかを確認する「アクセスコントロール方式のレビュー」の4つの観点からシステム設計書をレビュー、設計段階での脆弱性となりそうな問題の排除につなげる。

《高橋 潤哉( Junya Takahashi )》

関連記事

PageTop

特集

アクセスランキング

  1. 埼玉大学の学内サーバへ不正アクセス、PCの脆弱なパスワードが原因に

    埼玉大学の学内サーバへ不正アクセス、PCの脆弱なパスワードが原因に

  2. 若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

    若手社員の半数以上「情報漏えいより締め切りが大切」IT部門との確執浮き彫り

  3. 群馬大学のメールサーバが踏み台に、約57万件の迷惑メールを送信

    群馬大学のメールサーバが踏み台に、約57万件の迷惑メールを送信

  4. proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

    proofpoint Blog 第6回「そのサンドボックス運用にはご注意を! BCCモードのサンドボックス解析による大きなリスク」

  5. ワイヤー錠で固定実施済も、病院の超音波診断装置外付けHDD行方知れず

    ワイヤー錠で固定実施済も、病院の超音波診断装置外付けHDD行方知れず

  6. PureSecureが不適切なパスワード保存テクニックを露呈

    PureSecureが不適切なパスワード保存テクニックを露呈

  7. 東京2020で約4.5億回のセキュリティイベントに対処した“NTTの貢献”

    東京2020で約4.5億回のセキュリティイベントに対処した“NTTの貢献”

  8. 複数のOracle製品のクリティカルパッチアップデートについて注意喚起、Java SEの脆弱性は攻撃時の影響大

    複数のOracle製品のクリティカルパッチアップデートについて注意喚起、Java SEの脆弱性は攻撃時の影響大

  9. 徳島県国民健康保険団体連合会が専用回線で誤送信、再送信処理でのシステム仕様に問題

    徳島県国民健康保険団体連合会が専用回線で誤送信、再送信処理でのシステム仕様に問題

  10. GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

    GhostScript において任意のコードが実行可能となるディレクトリへのアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る