情報システムのセキュリティレベルを維持/向上させる方法として、ペネトレーションテスト(侵入テスト)の実施が効果的であり、GSXにおいても「タイガーチームサービス」として1997年より同サービスを提供してきました。これは、主として運用中、又は運用開始直前といった、システム開発ライフサイクルの保守工程にあるシステムに対して擬似的な攻撃を行い、システムに内在する「脆弱性」を洗い出すことを目的としています。これによって検出された脆弱性に対策を実施することで、保守工程におけるシステムのセキュリティレベルを維持/向上させることが可能です。
しかし、情報システムのセキュリティレベルを適切に管理するためには、保守工程のみにポイントを絞った対策だけでなく、保守工程以外の工程においても適切な対策を実施する事が重要です。
GSXではシステム開発の各工程に沿ったセキュリティ対策を支援するため、システム開発全体を見据えたセキュリティ対策サービスを提案しています。
基本設計検査、ソースコード検査
システム開発における設計工程(基本設計検査)、製造工程(ソースコード検査)にて、セキュリティを考慮した適切な設計・製造(コーディング)が実施されているか否かを調査することにより、セキュリティレベルの高いシステム開発に貢献します。
また、設計工程/製造工程以降における手戻り作業(脆弱性対策)を最小限にすること(コスト削減)が可能となります。
GSXの特色
設計工程(基本設計検査)から製造工程(ソースコード検査)、保守工程(タイガーチームサービス)までのセキュリティ検査が可能であるため、対象システムに対してワンストップでセキュリティ対策サービスを提供可能です。
また、設計工程において取得可能なシステム仕様を考慮し、対象システムに固有な脆弱性(仕様上の問題)を抽出することが可能です。
基本設計検査
事前調査
一次調査(文書査読)
二次調査(管理者ヒアリング)
報告書作成
報告会実施/納品
ソースコード検査
事前調査
ソースコードの調査
報告書作成
報告会実施/納品
セキュア開発支援(基本設計検査、ソースコード検査)を利用していただくことにより、下記のメリットがあります。
■システム開発の早い段階(設計工程または製造工程)からセキュリティ対策を導入可能
■設計工程/製造工程以降における手戻り作業(脆弱性対策)を最小限にすることが可能(コスト削減)
■システム仕様を考慮し、システム固有の脆弱性を抽出可能
国内大手銀行 数社
基本設計検査
基本設計検査を依頼する場合、見積もり単位はどのようになっていますか。
基本設計書のページ数が単位となります。
ソースコード検査
ソースコード検査を依頼する場合、見積もり単位はどのようになっていますか。
ソースコードのステップ数(コメント行を省いた行数)が単位となります。
