NRIセキュアテクノロジーズは2023年7月11日、「ローコード/ノーコード開発基盤のセキュリティ評価サービス」を提供開始した。ローコード/ノーコード開発基盤を対象に、セキュリティ設定や利用環境の安全性を評価する。価格(税別)は個別見積もりで、基本料金は800万円から。
NRIセキュアテクノロジーズの「ローコード/ノーコード開発基盤のセキュリティ評価サービス」は、ローコード/ノーコード開発ツールを使って開発したシステムのセキュリティ対策の妥当性を評価するサービスである。ローコード/ノーコード開発基盤のセキュリティ機能を調査したうえで、セキュリティ機能を適切に利用できているかを、NRIセキュア独自の指標を基に評価する(図1)。
図1:「ローコード/ノーコード開発基盤のセキュリティ評価サービス」の対象範囲(点線部)(出典:NRIセキュアテクノロジーズ)拡大画像表示
本番環境のアプリケーションを机上で評価するだけでなく、本番環境での運用についても評価の対象とする。例えば、基盤の設定内容、開発環境から本番環境に移行(デプロイ)する際のプロセス、内外部のアクセス経路などを考慮する。
アプリケーションが扱う情報の種類、機微な情報の格納場所、情報にアクセスするユーザーと手段など、アプリケーションの特性を理解する。この後、アプリケーション実行基盤にセキュリティ上の欠陥がないか、開発・運用プロセスに外部からの攻撃のリスクや情報漏洩リスクがないかを調べる。
課題が見つかった箇所については、ユーザーの既存ルールや運用の実態を考慮した代替統制案を含む改善案を提示する。
「ローコード/ノーコード開発の利用が進む一方、ツールの設定に不備があると、脆弱性が残ってしまう。このため、開発ツールや開発したアプリケーションにセキュリティ対策が講じられているかどうかを確認する必要がある」(同社)
