ニュース

NRIセキュア、ローコード/ノーコード開発ツールで開発したシステムのセキュリティ対策を評価するサービス

 NRIセキュアテクノロジーズ株式会社(NRIセキュア)は11日、ローコード/ノーコードのアプリケーション開発基盤を対象に、そのセキュリティ設定や利用環境の安全性を評価する、「ローコード/ノーコード開発基盤のセキュリティ評価サービス」を提供開始すると発表した。

 アプリケーション開発において、ソースコードの記述が最小限で済むローコードや、全く記述する必要がないノーコードの開発基盤を利用すると、最小限のコーディングでアプリケーションを開発でき、システムの保守(メンテナンス)も容易であることから、さまざまな企業において利用が進展しているが、一方で、ツールの設定に不備があると、開発されたアプリケーションを運用するシステム全体に脆弱性が残留するといった問題が生じる可能性があるという。

 今回発表されたサービスは、こういった背景を考慮して、ローコード/ノーコード開発基盤に関するセキュリティ面での課題解決を支援するもの。ローコード/ノーコード開発基盤のセキュリティ機能などを調査したうえで、セキュリティ機能を適切に利用できているかなど、ローコード/ノーコード開発基盤で開発・運用されているアプリケーションのセキュリティ対策の妥当性を評価する。

 調査にあたっては、本番環境のアプリケーションを机上評価するだけでなく、基盤の設定内容、開発環境から本番環境に移行(デプロイ)する際のプロセスや、内外部のアクセス経路も考慮した本番環境での運用などについても対象にするとのこと。

 具体的には、まず「ローコード/ノーコード開発基盤によって開発されたアプリケーションではどのような情報を扱うのか」「どこに機微な情報が格納されるのか」「誰がどのようにアクセスするのか」等、考慮すべきアプリケーションの特性を理解した上で、アプリケーションの実行基盤にセキュリティ上の欠陥がないか、また開発時・運用時のプロセスも調査し、外部からの攻撃のリスクや、情報漏えいリスクがないかどうか等の評価を行うとした。

 そして、課題が見られる箇所については、顧客企業の既存ルールや運用実態を考慮し、代替統制案を含む改善案を提示するとしている。

ローコード/ノーコード開発基盤のイメージと本サービスの対象範囲(点線部)