GSX、開発上流工程でセキュリティ観点で設計書をレビュー | ScanNetSecurity
2024.07.16(火)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 新製品・新サービス 記事

GSX、開発上流工程でセキュリティ観点で設計書をレビュー

グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。

製品・サービス・業界動向 新製品・新サービス
 グローバルセキュリティエキスパート株式会社(GSX)は5月24日、脆弱性診断の新サービス「脆弱性診断設計書レビュー」のリリースを発表した。

 同社の新サービス「脆弱性診断設計書レビュー」は、顧客所有の設計書をベースに必要に応じて顧客にヒアリングを実施、「セキュリティ要件が適切に考慮されているか」という観点からGSXの専門エンジニアが分析し、顧客環境を考慮した最適な報告・助言・提言を行う。

 顧客のWebアプリが現在も開発中であれば、影響や手戻りが大きい脆弱性の代表格である「なりすまし」「権限昇格」に絞った設計書レビューを実施する。Webアプリ開発の上流工程から各工程のセキュリティ対策を適切に行うことで、工程を逆行する戻り作業が減少、セキュリティに関する改修コストの削減、Webアプリ開発の全工程において有効な脆弱性対策が施された、セキュリティ強度の高いシステム開発が実現できる。

 同サービスでは、対象サイトに固有のビジネスロジックについて悪用の危険性を確認する「アプリケーション仕様」、ID/パスワードの書式やアカウントロック、リマインダ機能等の設計方式をインタビューし、パスワードの推測・総当り攻撃等への考慮が十分であるかを確認する「ユーザ認証方式のレビュー」、独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により別ユーザになりすまされる危険性がないか確認する「セッション管理方式のレビュー」、権限の無い情報を不正に閲覧されないための設計がなされているかを確認する「アクセスコントロール方式のレビュー」の4つの観点からシステム設計書をレビュー、設計段階での脆弱性となりそうな問題の排除につなげる。
《高橋 潤哉( Junya Takahashi )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

TONEストアアプリがTONEストアと平文で通信している問題、中間者攻撃で第三者に通信内容を傍受される可能性 画像

TONEストアアプリがTONEストアと平文で通信している問題、中間者攻撃で第三者に通信内容を傍受される可能性
複数の Webmin 製品に複数の脆弱性 画像

複数の Webmin 製品に複数の脆弱性
裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度] 画像

裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]
SAPジャパンのなりすましサイトに注意を呼びかけ 画像

SAPジャパンのなりすましサイトに注意を呼びかけ
PHPの脆弱性(CVE-2024-4577)を狙う攻撃に注意を呼びかけ 画像

PHPの脆弱性(CVE-2024-4577)を狙う攻撃に注意を呼びかけ
Apache Tomcatにサービス運用妨害(DoS)の脆弱性 画像

Apache Tomcatにサービス運用妨害(DoS)の脆弱性

インシデント・事故 記事一覧へ

ユニテックフーズに不正アクセス、サーバ上のファイルの拡張子が書き換えられる 画像

ユニテックフーズに不正アクセス、サーバ上のファイルの拡張子が書き換えられる
浪江町職員が不正アクセスで逮捕 画像

浪江町職員が不正アクセスで逮捕
2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ 画像

2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ
「リマコミ+」にシステム設計上のミス、第三者がログインしてしまう不具合 画像

「リマコミ+」にシステム設計上のミス、第三者がログインしてしまう不具合
NTTデータグループ ルーマニア拠点に不正アクセス、ランサムウェアによる攻撃の可能性含め解析を進める 画像

NTTデータグループ ルーマニア拠点に不正アクセス、ランサムウェアによる攻撃の可能性含め解析を進める
パルグループのサーバに不正アクセス、ポイント反映に影響 画像

パルグループのサーバに不正アクセス、ポイント反映に影響

調査・レポート・白書・ガイドライン 記事一覧へ

わずか 22.9 % ~ ランサムウェア身代金「支払いは行わない」方針でルール化 画像

わずか 22.9 % ~ ランサムウェア身代金「支払いは行わない」方針でルール化
インターネットバンキング預金等の不正払戻し、2023 年度の被害件数は個人法人ともに前年度の 3 倍に 画像

インターネットバンキング預金等の不正払戻し、2023 年度の被害件数は個人法人ともに前年度の 3 倍に
なりすましメール被害発覚 きっかけの 4 割が「取引先・顧客より連絡」 ~ 被害企業 190 社調査 画像

なりすましメール被害発覚 きっかけの 4 割が「取引先・顧客より連絡」 ~ 被害企業 190 社調査
2023 年度の情報セキュリティ市場は 1 兆 4,628 億円 9.8 %成長 ~ JNSA調査 画像

2023 年度の情報セキュリティ市場は 1 兆 4,628 億円 9.8 %成長 ~ JNSA調査
銀行の TLPT 実施におけるプロセス別「好事例」と「不十分な事例」~ 金融庁レポート 画像

銀行の TLPT 実施におけるプロセス別「好事例」と「不十分な事例」~ 金融庁レポート
2023 年度は外部公開アセットの脆弱性悪用が最多 ~ マクニカ「標的型攻撃の実態と対策アプローチ 第8版」 画像

2023 年度は外部公開アセットの脆弱性悪用が最多 ~ マクニカ「標的型攻撃の実態と対策アプローチ 第8版」

研修・セミナー・カンファレンス 記事一覧へ

「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか 画像

「経産省 営業秘密官民フォーラム」IPA 資料公開、内部不正対策ほか
7/30 開催「クラウドセキュリティのシフトレフト」実現 ~ SHIFT SECURITY が CNAPP 導入方法解説 画像

7/30 開催「クラウドセキュリティのシフトレフト」実現 ~ SHIFT SECURITY が CNAPP 導入方法解説
開発元にソフトウェアの製造責任を負わせるのは合理的? 画像

開発元にソフトウェアの製造責任を負わせるのは合理的?
8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほか 画像

8/8・8/9 セコムトラストシステムズ「IDaaSでここまでできる!」ウェビナー開催 ~ 便利機能 注意点 MFA 製品別特長 ほか
エーアイセキュリティラボ「診断ツールのリアルな通信簿 生成 AI で精度とスピードはどこまで変わる?」7/24開催、具体的な診断時間や画面数を提示 画像

エーアイセキュリティラボ「診断ツールのリアルな通信簿 生成 AI で精度とスピードはどこまで変わる?」7/24開催、具体的な診断時間や画面数を提示
7/25・8/29「正しい脆弱性診断の進め方」SHIFT SECURITY 中村雄大氏 解説 開催 画像

7/25・8/29「正しい脆弱性診断の進め方」SHIFT SECURITY 中村雄大氏 解説 開催

製品・サービス・業界動向 記事一覧へ

2 年連続 ITパスポート試験が 1 位、情報セキュリティマネジメント試験も注目ランキングで 2 位に 画像

2 年連続 ITパスポート試験が 1 位、情報セキュリティマネジメント試験も注目ランキングで 2 位に
米国商務省産業安全保障局、米 Kaspersky Lab, Inc. に米国内での提供を禁止する最終決定 画像

米国商務省産業安全保障局、米 Kaspersky Lab, Inc. に米国内での提供を禁止する最終決定
東京都が中小企業を対象にセキュリティ対策点検、50 社募集 画像

東京都が中小企業を対象にセキュリティ対策点検、50 社募集
丸紅I-DIGIOホールディングスが GSX 株取得、MIH グループ 5 社へサイバーセキュリティ教育提供し業務提携 画像

丸紅I-DIGIOホールディングスが GSX 株取得、MIH グループ 5 社へサイバーセキュリティ教育提供し業務提携
自動脆弱性診断・ASM ツール「GMOサイバー攻撃 ネットde診断」が OpenSSH に含まれる脆弱性(CVE-2024-6387)に対応 画像

自動脆弱性診断・ASM ツール「GMOサイバー攻撃 ネットde診断」が OpenSSH に含まれる脆弱性(CVE-2024-6387)に対応
脆弱性「診断」が大好きなニッポンに脆弱性「管理」を提案 ~ tenable one [Interop Tokyo 2024 REPORT] 画像

脆弱性「診断」が大好きなニッポンに脆弱性「管理」を提案 ~ tenable one [Interop Tokyo 2024 REPORT]

おしらせ 記事一覧へ

本誌 ScanNetSecurity、Black Hat USA 2024 のプレス登録に落選 画像

本誌 ScanNetSecurity、Black Hat USA 2024 のプレス登録に落選
創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×