脆弱性診断設計書レビュー

脆弱性診断 設計書レビューは、システム開発の設計書をベースに、「セキュリティ要件が適切に考慮されているか」という観点からセキュリティレビューを実施。診断結果とともに、具体的な改善策を提言するサービスです。
開発前の設計段階で脆弱性を検出・解消することで、開発の手戻りを大幅に低減し、時間・コストを削減することができます。

脆弱性診断 設計書レビューは、システム開発の設計書をベースに、「セキュリティ要件が適切に考慮されているか」という観点からセキュリティレビューを実施。診断結果とともに、具体的な改善策を提言するサービスです。
開発前の設計段階で脆弱性を検出・解消することで、開発の手戻りを大幅に低減し、時間・コストを削減することができます。

開発の手戻りを最小限に

Webアプリケーションの脆弱性を検出する作業は、開発の実装・テスト段階で行うことが一般的ですが、実際には発見される脆弱性の60%以上が、設計段階以前に発生していると言われています。そのため、脆弱性が発見された場合、大きく手戻りが発生しさらに工数が発生するという課題があります。開発の上流工程から各工程ごとにセキュリティレビューを実施することで、早いタイミングで脆弱性を発見し、開発中の手戻りを減少します。
開発フェーズにおける脆弱性診断

設計前工程で発生する脆弱性を作りこむ要因例

  • セキュリティ要件の認識誤り
  • セキュリティ要件の不足
  • セキュリティ設計ミス
  • セキュリティ要件との齟齬
  • コーディングミス
  • 検証と妥当性確認の漏れ
修正対応コスト
CASE(Certified Application Security Ehgineer):認定アプリケーションセキュリティエンジニア

シフトレフトに関する教育コース詳細はこちらから

ツール診断では見つけられない脆弱性の検出

GSXの設計書レビューは、実績豊富な専門家がお客様のWebアプリケーション設計書をベースに、必要に応じてご担当者様へヒアリングしながらセキュリティレビューを実施するため、診断ツールでの検出が難しいとされる「セッション管理不備」を検出できます。セッション管理の不備は「なりすまし」「パラメータ改ざん」といった攻撃につながり、大量の個人情報漏えい事件の被害も出ています。
こうした設計段階で考慮されるべきセキュリティ要件を満たしているかを確認し、改善が必要な場合は、お客様の環境を考慮した最適な対策をご提案します。

コスト削減

設計段階のセキュリティレビューは早期の脆弱性発見に繋がり、開発工程に入ってからの大きな手戻りを防ぐため、改修コストの大幅な削減が可能となります。
さらに、設計段階での綿密なレビューにより、開発の全工程において有効な情報セキュリティ対策が施された強度の高いシステムを実現、運用に入ってからもサイバー攻撃の被害を受けづらくなるため、想定外のセキュリティ対策費用などの発生を抑えます。
なりすまし等の”セッション管理の不備“などの脆弱性を突いた攻撃については、
商用の診断ツールでの検出が難しいのが現状です。

※ログイン機能のあるWebアプリケーションはセッション管理機能を有する為、潜在的にこの脆弱性を有している可能性がある。

セッション管理の不備に起因する代表的な問題

なりすまし

AさんがBさんに不正になりすませる。
不正操作/個人情報の漏えいの可能性がある。

パラメータ改ざん

例えば通販サイトやオンラインバンキングでの金額・数量等の改ざんに不正利用・不正操作。

セッション管理の不備に起因する事件事例

セッション管理の不備を突き、21万人への機械的な”なりすまし”試行の結果、大量の個人情報漏えいになったと言われる。

脆弱性診断 設計書レビューでは、以下の項目を重点的に調査します。

アプリケーション仕様

対象サイトに固有のビジネスロジックについて、悪用の危険性を確認します。

ユーザ認証方式のレビュー

ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるか確認します。

セッション管理方式のレビュー

独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により、別ユーザになりすまされる危険性がないか確認します。

アクセスコントロール方式のレビュー

権限の無い情報を不正に閲覧されないための設計がなされているか確認します。

脆弱性診断 設計書レビューは次の流れで実施します
01

設計書の査読

  • お客様から提供頂いたWebアプリケーション設計書の査読を行い、現状を把握します。
02

ヒアリングの実施

  • 必要に応じてご担当者様にヒアリングを実施し、より詳細な現状を把握します。
03

専門家による分析/報告書作成

  • 査読・ヒアリングからお客様の設計書にセキュリティ要件が適切に含まれているかを分析。結果を報告書として取りまとめ、納品いたします。
04

報告会

  • 専門エンジニアが診断結果や改善策をご説明する報告会を開催します。

診断報告書(目次例)

  • 実施結果サマリー
  • 診断概要
  • 診断結果総括
  • 指摘概要
  • 脆弱性詳細
  • システム全体に潜む脆弱性
脆弱性詳細サンプル
料金は個別にお見積もりいたします。下記の「お問い合わせはこちら」よりお問い合わせください。
メールマガジン登録
お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。