GSX、新サービス「脆弱性診断 設計書レビュー」をリリース ソフトウェア開発ライフサイクルを汲んだWebセキュリティの確保を

グローバルセキュリティエキスパート株式会社（本社：東京都港区海岸1-15-1、代表取締役社長：青柳 史郎、https://www.gsx.co.jp/、以下、GSX）はこの度、脆弱性診断の新サービスである「脆弱性診断設計書レビュー」をリリースしました。

脆弱性診断設計書レビューは、お客様所有の設計書をベースに、必要に応じてお客様へヒアリングさせていただき、その内容を「セキュリティ要件が適切に考慮されているか」という観点から専門エンジニアが分析し、お客様環境を考慮した最適な報告・助言・提言をします。
現在も開発中ということであれば、開発しているシステム全体への影響や手戻りが大きい脆弱性の代表格である「なりすまし」「権限昇格」に絞った設計書レビューを実施するのが望ましいと考えます。

➢  脆弱性診断設計書レビュー詳細はこちらから
https://www.gsx.co.jp/informationsecurity/designdocumentreview.html

近年、Webアプリの脆弱性を突く攻撃が増加の一途を辿り、中には攻撃によって引き起こされる情報漏えい事故まで発生しているケースも見受けられます。
これらの状況を踏まえ、企業側では規模を問わず、脆弱性診断を実施する企業の裾野は拡大しており、新年度カットオーバータイミングに合わせたWebアプリケーションリリースニーズ（システム出荷前テスト）や定期診断におけるベンダローテーションなどの慣習が根付き始めています。
一方で、新型コロナウイルス感染症（COVID-19）蔓延によるビジネス変革（例．リアルからオンラインへの移行）の要素も相まって、これまでになく企業は堅牢化への対策を重要視しています。

図1-1「脆弱性の届出件数の四半期ごとの推移」では、ウェブサイト（Webアプリ）累計は約3年間で120%増の推移であり、例えば「セッション管理の不備」については91-200日も改修に時間を要する結果となっております。これは上流設計の不備や診断ツールでの脆弱性検出自体が難儀であることを示している一例となります。

Webアプリ開発の上流工程から各工程のセキュリティ対策を適切に行うことで、工程を逆行するような戻り作業が減少し、セキュリティに関する改修コストの削減、Webアプリ開発の全工程において有効な脆弱性対策が施された、セキュリティ強度の高いシステム開発が実現できます。脆弱性診断設計書レビューは、設計書を分析するため、構築に進む前の上流工程で対策を講じることができます。

右図のモデルのように、SDLCの工程が進むほど、脆弱性をゼロに近づけるためのコストは増大していきます。Webアプリケーションリリース直前の脆弱性診断で見つかったものに各種対策をするよりも、SDLCを俯瞰した初期段階からのセキュリティ考慮はWebサイト開発工程では必須とされます。
そのため、セキュリティ要件の収集から、設計・構築・テスト・デプロイの開発工程、運用・保守に至るまでアプリケーション開発・運用（DevOps）に携わるエンジニアは効果的なトレーニングが推奨されます。
殊に、Webアプリケーションのセキュリティ考慮は、後付けではなく SDLC全体俯瞰で行われる必要があります。

GSXでは、脆弱性診断後の手戻りを防ぎ、納期通りにWebサイトをリリースするできるよう、SDLCを学ぶことができるCASEコースウェアをご用意しております。CASEコースウェアでは、Webアプリケーションをセキュアに開発し、運用保守を含めてセキュアであり続けるために要件定義・設計・開発から運用までの全体像とそれぞれの役割や方法論を学ぶことが可能です。

➢  CASE（Certified Application Security Engineer：認定アプリケーションセキュリティエンジニア）
　https://www.gsx.co.jp/academy/case.html

GSXでは、SDLCを全体俯瞰したセキュリティご支援をはじめ、脆弱性診断のご支援、コロナ禍影響によるオンライン移行のご支援まで柔軟にご対応させていただきますので、お気軽にご相談くださいませ。

社名：グローバルセキュリティエキスパート株式会社
東京本社：〒105-0022 東京都港区海岸1-15-1 スズエベイディアム4F
西日本支社：〒541-0047 大阪市中央区淡路町3-1-9 淡路町ダイビル8F
西日本支社名古屋オフィス：〒451-6040 愛知県名古屋市西区牛島町6-1名古屋ルーセントタワー40F
代表者：代表取締役社長　青柳 史郎
証券コード：4417
上場証券取引所：東京証券取引所マザース市場
資本金：485,000,000円
設立：2000年4月
コーポレートサイトURL：https://www.gsx.co.jp/

GSXは、サイバーセキュリティ教育カンパニーです

わたしたちは、情報セキュリティ・サイバーセキュリティに特化した専門会社です。高い継続率を誇るセキュリティコンサルティングや、長年のノウハウを踏襲した脆弱性診断、豊富なサイバーセキュリティソリューションをはじめ、セキュリティ全体像を網羅した教育サービスをご提供しています。
DXが加速し、サイバーセキュリティニーズが拡大する市場で各事業の軸に「教育」と「グローバル」を据え、日本の情報セキュリティレベル向上に貢献します。また、GSXは、中堅企業や地方企業を中心としたユーザー様に対し、それぞれに最適なサービスを提供し、サイバーセキュリティの知見・ノウハウをお伝えすることで、日本全国の企業の自衛力向上をご支援します。

■ コンサルティング

・マネジメントコンサルティング

お客様が抱える情報セキュリティに関する課題について、現状の可視化から、解決に向けた計画策定・体制構築に至るまで、 ITのみならずシェアNo.1*のOTセキュリティ領域に関しても一貫した支援をご提供します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」OTセキュリティ診断・構築運用支援サービス市場－従業員300～1,000人未満：ベンダー別売上金額シェア（2019～2021年度予測）

・テクニカルコンサルティング

ハッカーと同様の技術を持つ専門エンジニア（ホワイトハッカー）が、お客様のネットワークシステムに擬似攻撃を行い、脆弱性の有無を診断して、対策措置、結果報告書までをご提供します。

■ セキュリティ教育

・企業向けセキュリティ訓練

業界シェアNo.1*であるトラップメール（GSX標的型メール訓練サービス）や、ITセキュリティeラーニングサービスのMina Secure®によって従業員のセキュリティリテラシー向上をご支援します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－従業員1,000～5,000人未満：ベンダー別売上金額シェア(2019～2021年度予測）
*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－流通業：ベンダー別売上金額シェア（2019～2021年度予測）
*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」標的型攻撃メール訓練サービス市場－建設業：ベンダー別売上金額シェア(2020～2021年度予測）

・エンジニア向け教育講座

セキュリティ全体像を網羅した業界シェアNo.1*の教育サービスをご提供します。EC-Councilセキュリティエンジニア養成講座、日本発のセキュリティ人材資格「セキュリスト（SecuriST）® 認定脆弱性診断士」などで、セキュリティ人材を育成します。

*出典：ITR「ITR Market View：サイバー・セキュリティ・コンサルティング・サービス市場2021」セキュリティ教育サービス市場－従業員1,000～5,000人未満：ベンダー別売上金額シェア（2020～2021年度予測）

■ ITソリューション

・バイリンガルITプロフェッショナルサービス

バイリンガルのIT人材リソースをご提供します。グローバル拠点への対応はじめ、国内のバイリンガル対応を必要とするお客様へのIT+サイバーセキュリティサービスをご提供します。

■ セキュリティソリューション

・サイバーセキュリティ製品導入・運用サービス

最新の脅威や攻撃手法などに対して有効なサイバーセキュリティ製品・サービスを、実装・運用を組み合わせたワンストップソリューションでご提供します。

※本文中に記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

GSX、新サービス「脆弱性診断 設計書レビュー」をリリース
ソフトウェア開発ライフサイクルを汲んだWebセキュリティの確保を　(PDF 419KB)