GSX、開発上流工程でセキュリティ観点で設計書をレビュー
グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。
製品・サービス・業界動向
新製品・新サービス
同社の新サービス「脆弱性診断設計書レビュー」は、顧客所有の設計書をベースに必要に応じて顧客にヒアリングを実施、「セキュリティ要件が適切に考慮されているか」という観点からGSXの専門エンジニアが分析し、顧客環境を考慮した最適な報告・助言・提言を行う。
顧客のWebアプリが現在も開発中であれば、影響や手戻りが大きい脆弱性の代表格である「なりすまし」「権限昇格」に絞った設計書レビューを実施する。Webアプリ開発の上流工程から各工程のセキュリティ対策を適切に行うことで、工程を逆行する戻り作業が減少、セキュリティに関する改修コストの削減、Webアプリ開発の全工程において有効な脆弱性対策が施された、セキュリティ強度の高いシステム開発が実現できる。
同サービスでは、対象サイトに固有のビジネスロジックについて悪用の危険性を確認する「アプリケーション仕様」、ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるかを確認する「ユーザ認証方式のレビュー」、独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により別ユーザになりすまされる危険性がないか確認する「セッション管理方式のレビュー」、権限の無い情報を不正に閲覧されないための設計がなされているかを確認する「アクセスコントロール方式のレビュー」の4つの観点からシステム設計書をレビュー、設計段階での脆弱性となりそうな問題の排除につなげる。
《高橋 潤哉( Junya Takahashi )》
関連記事
![彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/34318.jpg)
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
Windows DNS の脆弱性情報が公開
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
プルーフポイント、マルウェア配布する YouTube チャンネル特定
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
東京高速道路のメールアカウントを不正利用、大量のメールを送信
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず