セキュアアプリケーション設計レビュー

設計内容について設計資料を評価し、開発担当者様へヒアリングを行ったうえで、Webアプリケーションのセキュリティを確保するために考慮が不足している観点の洗い出しや、より良い設計方法について助言させていただきます。

開発着手前に問題点を洗い出すことで、セキュリティ設計の不備による手戻りや修正コストを最小限とすることができます。

図：セキュアアプリケーション設計レビューおよび周辺サービスの対象と
手戻り発生時の修正対応コストの関係

特長

1.要件定義・設計段階からセキュリティを考慮

セキュアアプリケーション設計レビューでは、NRIセキュアの専門家がWebアプリケーションの設計資料を評価し、担当者へのヒアリングを実施することにより、セキュリティ上の課題を早い段階で洗い出します。また、設計書がまだ作成されていない要件定義の段階においても、担当者へのヒアリングや設計会議への参加を通じて、セキュリティの観点からレビューを行うことが可能です。

2.独自のヒアリングシートによる、問題抽出の網羅性・効率性の拡充

開発ベンダごとに書式や記載内容が異なる設計資料には、セキュリティ上の課題が明文化されていないものも多く、資料を確認するだけでは課題を見過ごしてしまう危険があります。NRIセキュアでは、これまで行ってきた数多くのセキュリティ診断や各種設計書のレビューで培った知見を集約し、独自のヒアリングシートを新たに作成しました。これを用いて、設計時に考慮すべき観点をひとつひとつ確認し、問題点を抽出します。

また、上流工程の評価では、複数回のヒアリングを行うことが一般的ですが、セキュアアプリケーション設計レビューではセキュリティ診断の専門家が設計資料を事前に分析し、観点として抜けている部分のみ上記のシートを利用してヒアリングを行うことで、担当者の負担を低減します。

3.最新の攻撃トレンドを加味した対応策を提案

これまで実施してきた、5,000件以上のWebアプリケーション診断の実績に基づく評価項目をベースに、熟練のテクニカルコンサルタントが評価を実施します。対象のシステムやお客さまの業種に即した、最新の攻撃トレンドとインシデント事例を考慮して、問題点を抽出し、最も実効性の高い対策を提案します。

主な診断項目

• アプリケーション仕様

  対象サイトに固有のビジネスロジックについて、悪用の危険性を確認します。

• ユーザ認証方式のレビュー

  ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるか確認します。

• セッション管理方式のレビュー

  独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により、別ユーザになりすまされる危険性がないか確認します。

• アクセスコントロール方式のレビュー

  権限の無い情報を不正に閲覧されないための設計がなされているか確認します。

• 暗号化方式のチェック

  重要情報が通信経路上で暗号化されているか、暗号強度は十分かなどを確認します。

• 製品固有の脆弱性

  対象サイトに利用されいている各種コンポーネント（製品）に関わる脆弱性有無を調査します。

サービスのご提供フロー

設計ドキュメント評価方式

※上記は、凡例。スケジュール・実施内容は、お客様のご要望や案件特性に応じて変動します。

打ち合わせ同席方式

※上記は、凡例。スケジュール・実施内容は、お客様のご要望や案件特性に応じて変動します。

料金表

ご要件に応じて個別見積もりとなります。