NRIセキュアテクノロジーズは2020年11月25日、企業が開発中のアプリケーションを対象に、セキュリティの観点からレビュー(査読)を実施し、改善策を提案するサービス「セキュアアプリケーション設計レビュー」を刷新した。これまでは完成した設計書に対してレビューを実施していたが、新たに上流工程の要件定義・設計段階でレビューを実施できるようにした。セキュリティ上の問題点を早期に洗い出せるようになった。価格は個別見積もり。
NRIセキュアテクノロジーズの「セキュアアプリケーション設計レビュー」は、企業が開発中のアプリケーションを対象に、セキュリティの観点からレビュー(査読)を実施し、改善策を提案するサービスである。今回の刷新では、レビューの対象を、より上流工程へとシフトさせた。設計書を完成させる前の、要件定義や設計の段階でレビューできるようにした。セキュリティ上の問題点を早期に洗い出せるようになった(図1)。
図1:セキュアアプリケーション設計レビューおよび周辺サービスの対象と手戻り発生時の修正対応コストの関係(出典:NRIセキュアテクノロジーズ)拡大画像表示
背景として同社は、IT部門ではない業務部門がサービスを企画し、新しい要素技術を採用したり、サービス開始を急ぐあまり開発を突貫で進めてしまったりするケースの増加を挙げる。「セキュリティリスクが残ったまま開発を進めると、脆弱性の修正のためにリリース時期が延期になったり、リリース後に情報漏洩や不正アクセスなどのインシデントが発生したりする」(同社)
同サービスでは、NRIセキュアテクノロジーズのエンジニアがWebアプリケーションの設計資料を評価し、担当者へのヒアリングを実施する。こうして、セキュリティ上の課題を早い段階で洗い出す。サービス仕様上の問題とアプリケーションの脆弱性が重なって顕在化するリスクも見つけ出す。設計書を作成していない要件定義の段階においても、担当者へのヒアリングや設計会議への参加を通じて、セキュリティの観点からレビューできる。
設計資料を事前に分析し、セキュリティの観点として抜けている部分については、独自に作成したヒアリングシートを用いて問題点を抽出する。背景について同社は、開発ベンダーごとに書式や記載内容が異なる設計資料には、セキュリティ上の課題が明文化されていないものも多く、資料を確認するだけでは課題を見過ごしてしまう危険があることを挙げる。
攻撃トレンドを加味した対応策を提案する。これまで実施してきた5000件以上のWebアプリケーション診断の実績に基づいて作成した評価項目をベースに、技術コンサルタントが評価を実施する。対象のシステムや業種に即した攻撃トレンドとインシデント事例を考慮し、実効性の高い対策を提案する。
主な診断項目は、表1の通り。
| 診断項目 | 診断内容 |
|---|---|
| アプリケーション仕様 | 対象サイトに固有のビジネスロジックについて、悪用の危険性を確認する |
| ユーザー認証方式のレビュー | ID/パスワードの書式やアカウントロック、リマインダ機能などの設計方式をインタビューし、パスワードの推測・総当り攻撃などへの考慮が十分であるか確認する |
| セッション管理方式のレビュー | 独自セッションIDの利用の有無やCookieの設定などをインタビューし、セッション管理方式の不備により、別ユーザーになりすまされる危険性がないか確認する |
| アクセスコントロール方式のレビュー | 権限の無い情報を不正に閲覧されないための設計がなされているか確認する |
| 暗号化方式のチェック | 重要情報が通信経路上で暗号化されているか、暗号強度は十分かなどを確認する |
| 製品固有の脆弱性 | 対象サイトに利用されいている各種コンポーネント(製品)に関わる脆弱性有無を調査する |
