NRIセキュア、「セキュアアプリケーション設計レビュー」サービスを刷新

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は26日、アプリケーションをセキュリティの観点からレビューし、改善策を提案するサービス「セキュアアプリケーション設計レビュー」を刷新し、提供を開始した。

　刷新では、ウェブアプリケーションなどのセキュリティレベル向上に主眼を置き、従来、完成した設計書に対して行っていた設計レビューを、要件定義・設計段階などの上流工程で行う「シフトレフト」に対応した。セキュリティ上の問題点を早期に洗い出すことにより、リリース直前の手戻りや、サービス開始後の情報漏えいおよび不正アクセスなどのセキュリティインシデントが発生することを防止する。

「セキュアアプリケーション設計レビュー」および周辺サービスの対象と、手戻り発生時の修正対応コストの関係

　NRIセキュアでは、DXの進展に伴って、これまでITを専門としていなかった部門がサービスを企画し、新しい要素技術を採用したり、サービス開始を急ぐあまり開発を突貫で進めてしまったりするケースが増加していると説明。こうした状況では、セキュリティリスクが残ったままサービスが提供され、結果として企業のレピュテーションの低下や修正対応コストの増大を招く恐れがあるため、要件定義や設計を行う上流工程からセキュリティを考慮し、対策を行うことが一層重要になっていると指摘する。

　サービスでは、NRIセキュアの専門家がウェブアプリケーションの設計資料を評価し、担当者へのヒアリングを実施することにより、セキュリティ上の課題を早い段階で洗い出す。これにより、サービス仕様上の問題とアプリケーションの脆弱性が重なることで、初めてリスクとして顕在化するケースなどを見つけ出すことにも対応する。

　設計書がまだ作成されていない要件定義の段階においても、担当者へのヒアリングや設計会議への参加を通じて、セキュリティの観点からレビューを行うことにも対応する。

　さらに、開発ベンダーごとに書式や記載内容が異なる設計資料には、セキュリティ上の課題が明文化されていないものも多く、資料を確認するだけでは課題を見過ごしてしまう危険があると指摘。サービスでは、NRIセキュアがこれまで行ってきたセキュリティ診断や各種設計書のレビューで培った知見を集約した、独自のヒアリングシートを新たに作成しており、これを用いて設計時に考慮すべき観点を確認し、問題点を抽出する。

　上流工程の評価では、複数回のヒアリングを行うことが一般的となるが、サービスではセキュリティ診断の専門家が設計資料を事前に分析し、観点として抜けている部分のみ上記のシートを利用してヒアリングを行うことで、担当者の負担を低減する。

　想定される攻撃についても、NRIセキュアがこれまで実施してきたウェブアプリケーション診断の実績に基づく評価項目をベースに、テクニカルコンサルタントが評価を実施。対象のシステムや顧客の業種に即した、最新の攻撃トレンドとインシデント事例を考慮して、問題点を抽出し、実効性の高い対策を提案する。

　また、NRIセキュアでは、ウェブアプリケーションだけでなく、インフラシステムやクラウド、アーキテクチャの課題に関する評価や対応策の提案も支援している。デジタルサービスを企画・要件定義する段階でリスクを網羅的に洗い出す「デジタルサービス向けリスク分析支援」や「ソースコード診断」「Webアプリケーション診断」などを組み合わせることで、一層高いセキュリティレベルを確保しつつ、スムーズなシステム開発・運用を行うことが可能になるとしている。