EN

ソースコード診断

ソースコードに潜在するセキュリティ上の問題点を発見し、適切な対策の実施を支援

Webアプリケーションのソースコード自体を診断し、セキュリティ上の問題点を網羅的に洗い出します。

ソースファイルの行番号単位で、問題箇所の指摘、対策の具体的なアドバイスを行います。セキュアアプリケーション開発の経験豊富な専門家が手作業(マニュアル)による定点目視レビューを行い、また、ソースコード診断ツールを利用し、ツール結果と目視結果を複合し、問題点を整理します。これにより、ソースコード上に潜在するセキュリティ上の問題を洗い出すと共に、ソースコード診断ツールを内部導入した場合の効果や、ソースレビューを推進した場合の効果を、シミュレーションすることができます。

また、発見された問題に対して、具体的な対策方法をアドバイスし、適切な対策の実施を支援します。

主な診断項目

  • 過剰な情報漏洩のチェック
    システムの内部情報やアクセス権のない第三者の情報が不正に取得できる脆弱性がないか診断します。
  • 脆弱性のチェック
    ユーザからの入力データ・チェックが十分に行われているか(クロスサイトスクリプティング対策、SQLインジェクション対策)などを診断します。
  • システムの堅牢性のチェック
    デッドロックの発生やリソースの開放漏れなどシステム異常の原因となる記述がないか診断します。
  • コーディング品質のチェック
    テストが困難になる、解決しにくいバグが発生する等、問題が発生しやすいコーディングとなっていないか診断します。
  • セキュリティ要件を有するランダムID等の生成方式のチェック
    セッション管理用IDや、ユニーク性ランダム性を要するIDをアプリケーションで生成する場合、その生成方式に問題がないかチェックします。

何故ソースコードの診断なのか?

Webアプリケーションの開発は、一旦実装してしまえば終了ということはなく、ユーザの要望や利便性向上、機能追加等の様々な要件により継続していきます。新規リリースや大規模な修正リリースのタイミングで、公開前にアプリケーションの安全性を確認するべく、セキュリティ診断を実施している企業も多いでしょう。しかし、公開前の診断結果で重大な問題が発生すると、修正対応のコストやそのための期間が必要となり、公開スケジュールにも影響を与えてしまいます。

そういった状況に陥らないため、開発工程のより早い段階からセキュリティを担保する仕組みを構築し、公開前のセキュリティ診断では、開発工程で取り組まれたセキュリティ上の施策が正しく機能しており、安全である事を最終確認する目的としてゆく必要があります。

実装時の品質向上、セキュリティ向上の一施策としては、作成されたソースコードのレビューが挙げられます。セキュアプログラミングに熟練したプログラマーであっても、ミスは犯します。些細な実装ミスで、システム全体に重大な影響を与える問題を作りこんでしまうということは少なくありません。開発現場で、日頃からソースコードのレビューを行う習慣(またはルール)を作るのは重要な対策といえます。

ソースコードのレビューを適切に行うには、適切なレビューアが必要となります。セキュアプログラミングに関する知識を十分に保有していることや、対象プロジェクトの性質や特性、プロジェクトローカルルールに精通し、ソースコード上の問題を的確に指摘できなくてはなりません。

また、何万ステップに及ぶソースコード全てを人間の目で追う作業は大変なものです。その作業を代行してくれる、優秀なソースコード診断ツールが登場しています。そういったツールを導入し、人間とツールの両面からソースコードを適切にレビューできれば、開発を行いながら問題を発見/修正することが可能となります。アプリケーションが完成する頃には、実装上のミスから生まれるセキュリティ欠陥の殆どが既に修正されているという結果につながることが期待でき、手戻りによる追加コストを削減することができます。

上記のような効果を発揮させるためには、ソースコードレビューは、開発現場の内部で実施されることが望まれます。ただし、レビュアー要件を満たす人材の育成や、ツールの導入/利用方法の習得等、導入にあたって、解決しなくてはならない問題があるのも事実です。

これらの問題に対応するため、NRIセキュアがソースコード診断サービスを提供します。ソースコードに潜在する問題を発見すると同時に、お客様の開発現場内部で、ソースコードレビューを行う文化を形成する、はじめの一歩として活用していただけます。

サービスイメージ

サービスイメージ

参考

理想的な開発形態の例

参考

特長

Point.1 担当者のスキル・経験に裏付けられた高い技術力

主担当としてソースコード診断を実施するコンサルタントは、下記の条件をすべて満たす業界トップレベルの高いスキル・豊富な経験を保有しています。

  • 米国The SANS Instituteが主催する専門的なトレーニングコースを修了
  • 各種セキュリティ関連資格を保有

Point.2 セキュリティ診断経験を活かして、様々な攻撃手法に対応

セキュリティ診断で培ったノウハウを活かし、Webアプリケーションに作りこみ易い問題を適切に発見します。

Point.3 その他の特徴

  • 診断結果の迅速なフィードバック
  • ISMSに準拠した機密情報の厳格な取り扱い
  • 発見された問題点への推奨対策を含む報告書
  • 目検で発見された結果と、ツール出力結果をマージした報告書

サービスのご提供フロー

assessment-flow

料金

個別見積り