セキュアアプリケーション設計レビュー / サービス・製品 / 情報セキュリティのNRIセキュア

設計内容について開発担当者様へインタビューさせていただき、Webアプリケーションのセキュリティを確保するために考慮が不足している観点の洗い出しや、より良い設計方法について助言させていただきます。

スマートフォンアプリケーションにも対応しています。

開発着手前に問題点を洗い出すことで、セキュリティ設計の不備による手戻りや修正コストを最小限とすることができます。

ユーザ認証方式のレビュー
ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるか確認します。
セッション管理方式のレビュー
独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により、別ユーザになりすまされる危険性がないか確認します。
アクセスコントロール方式のレビュー
権限のない機能(管理者機能等)を不正に利用されたり、権限の無い情報を不正に閲覧されないための設計がなされているか確認します。
クロスサイトスクリプティングやSQLインジェクション攻撃等への対策方針のレビュー
入力値チェックや無害化処理、データベースの権限設定や重要情報の暗号化対策が十分に考慮されているか確認します。
暗号化方式のチェック
重要情報が通信経路上で暗号化されているか、暗号強度は十分かなどを確認します。

特長

過去500件以上の実績がある、Webアプリケーションセキュリティ診断の評価項目をベースにインタビューさせていただきます。評価項目は、頻発する不正アクセス事件や新しい攻撃手法に対応するために随時見直しを行っており、最新の攻撃手法に対応しております。

弊社セキュリティ診断の評価項目に従い、開発担当者様へ2～3時間程度のインタビューを実施させていただきます。大量の設計書の中からセキュリティ設計に該当する部分を探し出したり、設計書に書かれていない項目について都度確認させていただく手間を省くことによって、短期間、低コストで評価します。

ご要件に応じて個別見積もりとなります。