GSX、開発上流工程でセキュリティ観点で設計書をレビュー
グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。
製品・サービス・業界動向
新製品・新サービス
同社の新サービス「脆弱性診断設計書レビュー」は、顧客所有の設計書をベースに必要に応じて顧客にヒアリングを実施、「セキュリティ要件が適切に考慮されているか」という観点からGSXの専門エンジニアが分析し、顧客環境を考慮した最適な報告・助言・提言を行う。
顧客のWebアプリが現在も開発中であれば、影響や手戻りが大きい脆弱性の代表格である「なりすまし」「権限昇格」に絞った設計書レビューを実施する。Webアプリ開発の上流工程から各工程のセキュリティ対策を適切に行うことで、工程を逆行する戻り作業が減少、セキュリティに関する改修コストの削減、Webアプリ開発の全工程において有効な脆弱性対策が施された、セキュリティ強度の高いシステム開発が実現できる。
同サービスでは、対象サイトに固有のビジネスロジックについて悪用の危険性を確認する「アプリケーション仕様」、ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるかを確認する「ユーザ認証方式のレビュー」、独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により別ユーザになりすまされる危険性がないか確認する「セッション管理方式のレビュー」、権限の無い情報を不正に閲覧されないための設計がなされているかを確認する「アクセスコントロール方式のレビュー」の4つの観点からシステム設計書をレビュー、設計段階での脆弱性となりそうな問題の排除につなげる。
![彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/34318.jpg)
