セキュア開発支援(基本設計検査、ソースコード検査) 背景
情報システムのセキュリティレベルを維持/向上させる方法として、ペネトレーションテスト(侵入テスト)の実施が効果的であり、GSXにおいても「タイガーチームサービス」として1997年より同サービスを提供してきました。これは、主として運用中、又は運用開始直前といった、システム開発ライフサイクルの保守工程にあるシステムに対して擬似的な攻撃を行い、システムに内在する「脆弱性」を洗い出すことを目的としています。これによって検出された脆弱性に対策を実施することで、保守工程におけるシステムのセキュリティレベルを維持/向上させることが可能です。
しかし、情報システムのセキュリティレベルを適切に管理するためには、保守工程のみにポイントを絞った対策だけでなく、保守工程以外の工程においても適切な対策を実施する事が重要です。
GSXではシステム開発の各工程に沿ったセキュリティ対策を支援するため、システム開発全体を見据えたセキュリティ対策サービスを提案しています。
GSXコンサルティングの特色
- point1
基本設計検査、ソースコード検査
システム開発における設計工程(基本設計検査)、製造工程(ソースコード検査)にて、セキュリティを考慮した適切な設計・製造(コーディング)が実施されているか否かを調査することにより、セキュリティレベルの高いシステム開発に貢献します。
また、設計工程/製造工程以降における手戻り作業(脆弱性対策)を最小限にすること(コスト削減)が可能となります。
- point2
GSXの特色
設計工程(基本設計検査)から製造工程(ソースコード検査)、保守工程(タイガーチームサービス)までのセキュリティ検査が可能であるため、対象システムに対してワンストップでセキュリティ対策サービスを提供可能です。
また、設計工程において取得可能なシステム仕様を考慮し、対象システムに固有な脆弱性(仕様上の問題)を抽出することが可能です。
ステップ
基本設計検査
- step1
事前調査
- step2
一次調査(文書査読)
- step3
二次調査(管理者ヒアリング)
- step4
報告書作成
- step5
報告会実施/納品
ソースコード検査
- step1
事前調査
- step2
ソースコードの調査
- step3
報告書作成
- step4
報告会実施/納品
効果・メリット
セキュア開発支援(基本設計検査、ソースコード検査)を利用していただくことにより、下記のメリットがあります。
■システム開発の早い段階(設計工程または製造工程)からセキュリティ対策を導入可能
■設計工程/製造工程以降における手戻り作業(脆弱性対策)を最小限にすることが可能(コスト削減)
■システム仕様を考慮し、システム固有の脆弱性を抽出可能
支援・実施実績
国内大手銀行 数社電力会社、大手製造業、大手金融機関、官公庁、自治体 など
Q&A
基本設計検査を依頼する場合、見積もり単位はどのようになっていますか。
基本設計書のページ数が単位となります。
ソースコード検査を依頼する場合、見積もり単位はどのようになっていますか。
ソースコードのステップ数(コメント行を省いた行数)が単位となります。
セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。
