GSX、開発上流工程でセキュリティ観点で設計書をレビュー | ScanNetSecurity
2024.07.27(土)

GSX、開発上流工程でセキュリティ観点で設計書をレビュー

グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。

製品・サービス・業界動向
 グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。

 同社の新サービス「脆弱性診断設計書レビュー」は、顧客所有の設計書をベースに必要に応じて顧客にヒアリングを実施、「セキュリティ要件が適切に考慮されているか」という観点からGSXの専門エンジニアが分析し、顧客環境を考慮した最適な報告・助言・提言を行う。

 顧客のWebアプリが現在も開発中であれば、影響や手戻りが大きい脆弱性の代表格である「なりすまし」「権限昇格」に絞った設計書レビューを実施する。Webアプリ開発の上流工程から各工程のセキュリティ対策を適切に行うことで、工程を逆行する戻り作業が減少、セキュリティに関する改修コストの削減、Webアプリ開発の全工程において有効な脆弱性対策が施された、セキュリティ強度の高いシステム開発が実現できる。

 同サービスでは、対象サイトに固有のビジネスロジックについて悪用の危険性を確認する「アプリケーション仕様」、ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるかを確認する「ユーザ認証方式のレビュー」、独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により別ユーザになりすまされる危険性がないか確認する「セッション管理方式のレビュー」、権限の無い情報を不正に閲覧されないための設計がなされているかを確認する「アクセスコントロール方式のレビュー」の4つの観点からシステム設計書をレビュー、設計段階での脆弱性となりそうな問題の排除につなげる。
《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 度を超えたハラスメント行為者 セガ従業員に損害賠償支払い

    度を超えたハラスメント行為者 セガ従業員に損害賠償支払い

  2. マクニカネットワークスが忘れない CrowdStrike 三つのエピソード

    マクニカネットワークスが忘れない CrowdStrike 三つのエピソード

  3. 日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

    日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

  4. GMOイエラエ、カルチャーデック公開

  5. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

  6. 大阪の奇跡「純国産SOCサービス」セキュアヴェイル、垂直統合までの20年

  7. デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

  8. ジョン・マカフィーの死から三年、新CEOにクレイグ・バウンディ氏

  9. サイバーセキュリティ防衛技官募集、実務経験13年以上の31歳から58歳(防衛省)

  10. Twitterの青い「認証マーク」を本人確認なしで購入可能に、なりすましは厳罰化

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×