セキュア設計・開発支援サービスの内容

1. セキュア設計・開発ガイドライン策定支援

   Webサイトの運営主体に対し、セキュリティ上の考慮事項をまとめたガイドラインの策定を支援します。システム開発を他社に委託する際の要求事項としても利用することができます。

   価格：150万円〜

   提供ガイドライン例：
   ・Webアプリケーション設計・開発セキュリティガイドライン
   ・データベースセキュリティ設定ガイドライン
   ・OSセキュリティ設定ガイドライン

2. セキュアアプリケーション設計レビュー

   設計中のアプリケーションのセキュリティ設計をレビューし、問題のある設計や考慮が不足している観点を指摘します。NRIセキュアのセキュリティ診断の評価項目に従い、お客様の開発担当者に対して2〜3時間程度のインタビューを行った上で、報告書にまとめます。

   価格：50万円〜

   主な評価項目：
   ・ユーザ認証方式、セッション管理方式のレビュー
   ・アクセスコントロール方式のレビュー
   ・クロスサイトスクリプティング攻撃やSQLインジェクション攻撃等への対策方針のレビュー

3. ソースコード診断

   Webサイト開発・実装途中に常時安全性を確認するため、システムのソースコードを検査し、セキュリティ上問題のある箇所を指摘するとともに、具体的な対策をアドバイスします。ソースコード、ライブラリ一式をお預かりし、コンサルタントの目視確認と診断ツールを併用して、報告書にまとめます。

   価格：200万円〜 （対象ソースコードステップ数によって変動）

   主な診断項目：
   ・クロスサイトスクリプティング脆弱性のチェック
   ・SQLインジェクション脆弱性のチェック
   ・セキュリティ要件を有するランダム文字列の生成方式のチェック
   ・設定ファイルのセキュリティ考慮のチェック
   ・認証処理、セッション管理のチェック

   対象言語：
   ・Java
   ・.Net

   上記以外の言語（C、C++、PL/SQL、T-SQL、ColdFusion）については、コンサルタントの目視チェックを行わず、ツールの実行と結果の検証のみを行ないます。

「セキュア設計・開発ガイドライン策定支援」「セキュアアプリケーション設計レビュー」が必要とされる理由

NRIセキュアは、セキュリティ診断サービスの提供を通じて、さまざまなWebサイトで脆弱性を発見し、具体的な対策を提示してきました。その中で、設計段階、もしくは実装を行なう前段で、Webサイトを取り巻く脅威とリスクの分析を行い、必要な対策を盛り込んでおくことで多くの脆弱性を未然に防ぐことができるという結論に達しました。
そのためには、Webサイトの開発者（委託先企業）が設計段階で問題点を洗い出すことや、Webサイトの運営主体と開発者で、満たすべきセキュリティ基準を、お互いが受け入れた状態で開発に着手する必要があります。セキュリティ基準には、インターネットを取り巻く脅威に関する一般的な対策に加え、自社が満たすべき業界/国際基準等に準ずる内容を含んだ、特有の指標を定義する必要があると考えています。

「ソースコード診断」が必要とされる理由

昨今Webサイトの脆弱性は、根本的なミスによるものより、「漏れ」といった形で現れてくるものが目立つようになってきました。それだけセキュアなWebサイト開発手法、実装技術が定着してきた現状が伺えますが、同時に「漏れ」を防ぐ仕組みを構築するのは難しいとも言えます。十分な対策を行えているにも関わらず、システムのリリース間際の些細な修正時に問題を発生させてしまうと、それまでの対策が水泡に帰す可能性もあります。
このような状況に対応するため、また、実装途中に常時安全性を確認するために、ソースコード自体をチェックするソースコード診断ツールの適用が望ましいと考えます。開発現場（内部）で直接、こういったツールを利用しながら開発を進めていくことが最も効果的ですが、お客様の環境に導入する前に、効果を確認いただけるように本サービスを提供することにしました。

システム構築における開発工程別「セキュア設計・開発支援サービス」利用マップ