脆弱性診断設計書レビュー
脆弱性診断 設計書レビューは、システム開発の設計書をベースに、「セキュリティ要件が適切に考慮されているか」という観点からセキュリティレビューを実施。診断結果とともに、具体的な改善策を提言するサービスです。
開発前の設計段階で脆弱性を検出・解消することで、開発の手戻りを大幅に低減し、時間・コストを削減することができます。
脆弱性診断 設計書レビューは、システム開発の設計書をベースに、「セキュリティ要件が適切に考慮されているか」という観点からセキュリティレビューを実施。診断結果とともに、具体的な改善策を提言するサービスです。
開発前の設計段階で脆弱性を検出・解消することで、開発の手戻りを大幅に低減し、時間・コストを削減することができます。
開発の手戻りを最小限に
設計前工程で発生する脆弱性を作りこむ要因例
- セキュリティ要件の認識誤り
- セキュリティ要件の不足
- セキュリティ設計ミス
- セキュリティ要件との齟齬
- コーディングミス
- 検証と妥当性確認の漏れ
シフトレフトに関する教育コース詳細はこちらから
ツール診断では見つけられない脆弱性の検出
こうした設計段階で考慮されるべきセキュリティ要件を満たしているかを確認し、改善が必要な場合は、お客様の環境を考慮した最適な対策をご提案します。
コスト削減
さらに、設計段階での綿密なレビューにより、開発の全工程において有効な情報セキュリティ対策が施された強度の高いシステムを実現、運用に入ってからもサイバー攻撃の被害を受けづらくなるため、想定外のセキュリティ対策費用などの発生を抑えます。
商用の診断ツールでの検出が難しいのが現状です。
※ログイン機能のあるWebアプリケーションはセッション管理機能を有する為、潜在的にこの脆弱性を有している可能性がある。
なりすまし
AさんがBさんに不正になりすませる。
不正操作/個人情報の漏えいの可能性がある。
パラメータ改ざん
例えば通販サイトやオンラインバンキングでの金額・数量等の改ざんに不正利用・不正操作。
セッション管理の不備を突き、21万人への機械的な”なりすまし”試行の結果、大量の個人情報漏えいになったと言われる。
アプリケーション仕様
対象サイトに固有のビジネスロジックについて、悪用の危険性を確認します。
ユーザ認証方式のレビュー
ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるか確認します。
セッション管理方式のレビュー
独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により、別ユーザになりすまされる危険性がないか確認します。
アクセスコントロール方式のレビュー
権限の無い情報を不正に閲覧されないための設計がなされているか確認します。
設計書の査読
- お客様から提供頂いたWebアプリケーション設計書の査読を行い、現状を把握します。
ヒアリングの実施
- 必要に応じてご担当者様にヒアリングを実施し、より詳細な現状を把握します。
専門家による分析/報告書作成
- 査読・ヒアリングからお客様の設計書にセキュリティ要件が適切に含まれているかを分析。結果を報告書として取りまとめ、納品いたします。
報告会
- 専門エンジニアが診断結果や改善策をご説明する報告会を開催します。
診断報告書(目次例)
- 実施結果サマリー
- 診断概要
- 診断結果総括
- 指摘概要
- 脆弱性詳細
- システム全体に潜む脆弱性
