GSX、設計書をベースに脆弱性診断を行うサービス「脆弱性診断設計書レビュー」をリリース

　グローバルセキュリティエキスパート株式会社（以下、GSX）は24日、脆弱性診断を行う新サービス「脆弱性診断設計書レビュー」をリリースした。

　脆弱性診断設計書レビューは、顧客所有の設計書をベースに、必要に応じて顧客にヒアリングし、その内容を「セキュリティ要件が適切に考慮されているか」という観点から専門エンジニアが分析、顧客環境を考慮した最適な報告・助言・提言を行う。

　アプリケーション仕様については、対象サイトに固有のビジネスロジックについて、悪用の危険性を確認。ユーザー認証方式のレビューでは、ID／パスワードの書式やアカウントロック、リマインダー機能などの設計方式をインタビューし、パスワードの推測・総当たり攻撃などへの考慮が十分であるか確認する。

　セッション管理方式のレビューでは、独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により、別ユーザーになりすまされる危険性がないか確認する。アクセスコントロール方式のレビューでは、権限の無い情報を不正に閲覧されないための設計がなされているか確認する。

　また、現在も開発中であれば、開発しているシステム全体への影響や手戻りが大きい脆弱性の代表格である「なりすまし」「権限昇格」に絞った設計書レビューを実施できる。

　設計書を分析するため、構築に進む前の上流工程で対策を講じることができ、開発の上流工程から各工程に沿ってセキュリティ対策を適切に行うことで、開発の各工程で発生する可能性のある脆弱性を、より前の工程段階で対策することが可能となる。

　Webアプリ開発の上流工程から各工程のセキュリティ対策を適切に行うことで、工程を逆行するような戻り作業が減少し、セキュリティに関する改修コストの削減、Webアプリ開発の全工程において有効な脆弱性対策が施された、セキュリティ強度の高いシステム開発が実現できるとしている。