Webサイト開発工程と
セキュリティ対策のあるべき姿
開発と運用のサイクルの中で、
十分なセキュリティ対策を実現をするために
はじめに
脆弱性の発生契機と
攻撃にさらされる期間
セキュリティ対策を施していないWebサイト開発・運用のサイクルには、数多くの固有の脆弱性が潜む可能性が十分予測されます。
ステップ1
まずは脆弱性診断を実施することによって、攻撃にさらされる期間のリスクを大幅に低減しましょう
これにより外部の攻撃にさらされる期間のリスクが大幅に低減します。
開発したWebアプリケーションのセキュリティ設計に不備がないか、リリース前に外部のセキュリティベンダーによる脆弱性診断を受ける事が重要です。
しかし、これだけでは十分なセキュリティ対策とはいえません。
ステップ2
さらに各種自衛対策と、
第三者診断を実施することで
工程全体をカバーしましょう
各種自衛対策を実施します。
脆弱性診断を内製化することにより、スピーディかつ柔軟なWebサイト開発・運用サイクルの中で、十分なセキュリティ対策が行えるようになります。
対策のポイント
SDLC
ソフトウェア開発ライフサイクル
ソフトウェア開発ライフサイクル
SDLCの全体像及びセキュアコーディングに沿った企画・設計・開発を行って、不必要な個人情報を取得しないようにしたり、悪意ある第三者やユーザからの攻撃で被害を受けないようにする
CASE(Certified Application Security Engineer)
認定アプリケーションセキュリティエンジニア
よりクイックな第三者診断
クイックに、そして、リーズナブルに、診断内容は必要最低限な項目に絞ってGSXのホワイトハッカーが脆弱性診断(ツール診断)を実施します
Web脆弱性診断クイック
第三者診断
開発したWebアプリケーションのセキュリティ対策に不備がないか、リリース前に外部のセキュリティベンダーによる脆弱性診断を受け、リリース前にチェックする事が重要(しっかり作っているつもりでもミスは付き物)
タイガーチームサービス
WAF
運用フェーズにおけるWAFの重要性
クラウド型WAF
脆弱性診断内製化
運用フェーズにおける診断を内製で出来る体制を構築する事の重要性
脆弱性リスク管理
脆弱性情報管理
運用フェーズにおける脆弱性管理と対策適応の重要性
脆弱性情報
管理サービス
管理サービス