webアプリ脆弱性診断サービスならQES

ソリューション SOLUTION :webアプリ脆弱性診断サービス

サービス概要

Webビジネスは ネット広告の大幅な伸び ・ EC(電子商取引)サイトの増加 ・ SNS,ブログの利用者数の著しい増加 などに挙げられるように、益々その重要性が大きくなっています。
それに伴い、不正アクセスによる被害・ネット犯罪の組織化・ハッキング自動化ツールの氾濫など攻撃方法は日々巧妙なものへと進化し、その脅威は増しています。 また、スマートフォンの急激な普及にみられるように、Webビジネスは日進月歩で、商機を逃すことなくスピーディーに利便性とセキュリティーのバランスを保つことが求められます。 経験豊富な専門家にセキュリティを任せることで本来の業務に集中し、脅威や脆弱性によるリスクや、時間や手戻りによるコストを低減します。

サービスの特長

開発初期段階から診断を行い、手戻りコストを大幅に削減

一般的にWebアプリケーションの開発のスピードは早く、リリースしてからも頻繁に改修が行われるため、開発スケジュールは非常に厳しいものとなっています。 そこで開発後期や納入段階で脆弱性が発覚すると、多くの人員を掛けるか公開スケジュールを遅らせなければなりません。
開発初期段階からコーディングのガイドラインを整備したり脆弱性の診断を行うことで、脆弱性の改修による手戻りのコストが大きく低減します。

ソースコードレビューによる、高い網羅性と正確性

ソースコードを読むことでしか対処できない問題があります。
一般的に行われているブラックボックス型の調査は、検索エンジンのようにリンクを辿ったり、画面遷移図から調査対象を判断します。 そのため、遷移図にないプログラムやプログラマが保守のために用意しているバックドアのようなプログラムを見逃したりと網羅性が課題となります。 また、問題を判定する方法は不正なリクエストを送信した結果から得られるレスポンスの文字を解析してどのような問題が起こったのか推測するというものです。 このような方法だと不正なアクセスは成立していたがそのまま処理が続いてしまった場合や、メール送信、ファイル入出力などレスポンスをHTTPで返さない種類の脆弱性は判断できず正確な調査が行えません。
この場合、専門家が手作業(マニュアル)で勘や経験を頼りに、正常もしくは異常な結果かを判断するリクエストを何度も送り精度を向上させます。 このため、マニュアルによるブラックボックス型の調査は一般的に高価なサービスになる傾向があります。 ソースコードのレビューを行うホワイトボックス型の調査ですと、受け取るリクエストをソースコードから読み取れるため網羅的に調査が行えます。 また、マニュアルでの勘や経験に頼っていた部分が排除できるため正確に調査を行うことができます。

専門家による、目視でのレビュー

専門家が目視でのレビューを行うことにより、ツールのみでは発見できないより詳細な調査を行います。
ツールのみの診断の場合、プログラム言語やアプリケーションフレームワークの種類によりその精度は大幅に低下します。過剰検知も多くその確認に大幅な時間を割かなければなりません。また、保護すべき重要なデータが何かということはツールでは判断できません。そのため、専門家による目視での調査を省くことは大きなリスクを伴います。

開発者のセキュリティ教育やガイドライン策定

ソースコードの行番号単位で問題点を報告し、修正方法を提示します。そのため、開発者にセキュアな開発のための実践的な教育になります。また、策定したガイドラインは資産となります。

サービスのメニュー

Webアプリケーション脆弱性診断サービス

ソースコードレビューを主体として、それぞれのタイプの異なる診断メニューを用意しております。専門家が事前調査を行い、最適な診断タイプの組合せを提供します。よりスピーディーに、よりリーズナブルにWebアプリケーションに潜む脆弱性を解消します。

セキュアWebアプリケーション設計支援

セキュアなWebアプリケーション設計に必要なガイドラインの策定を支援します。ガイドラインを策定することで、発注側と開発側のセキュリティ対策の認識を合わせることができます。

セキュアWebアプリケーション開発支援

Webアプリケーション開発時にソースコードをレビューすることにより、セキュリティ設計の不備やより安価な実装方法を提案します。 開発の初期段階でWebアプリケーションのセキュリティの問題点を洗い出すことで、手戻りや修正などのコストを最小限にします。携帯電話やスマートフォン用のサイト独特のセキュリティ実装方法や、SEO(Search Engine Marketing)の妨げになるような過度なセキュリティ実装にも対応します。

セキュアWebアプリケーション実装支援

セキュアなWebアプリケーションを開発しても、プラットフォームの脆弱性対策がされていなければ不正アクセスを許してしまいます。 手作業とツールの両面からペネトレーションテストを行い問題を指摘します。