2007年11月1日
NRIセキュアテクノロジーズ株式会社
「セキュア設計・開発支援サービス」を提供開始
〜 安全なシステムの構築を、開発プロセス全般にわたって支援 〜
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:増谷 洋、以下「NRIセキュア」)は、企業や官公庁向けの「セキュア設計・開発支援サービス」の提供を、本日より開始します。本サービスでは、セキュリティ診断サービスやセキュリティソリューション開発などで培ったノウハウをもとに、要件定義から実装に至るまでのシステム開発の各プロセスにおいて、安全なシステムの構築を支援します。
近年、Webアプリケーションなど独自に開発されるシステムの安全性を確保するために、セキュリティ診断を受ける企業が増えています。セキュリティ診断は、すでに稼動している、もしくは稼動直前のシステムの安全性を検査するサービスのため、大きな問題が発見された場合に、対策やプログラムの修正に大きなコストがかかることも少なくありません。
そこで、NRIセキュアでは、システム開発のプロセス自体を見直すことに着目し、開発の各プロセスに必要なセキュリティ対策の実施を支援するサービスを提供することにしました。本サービスは、「セキュア設計・開発ガイドライン策定支援」「セキュアアプリケーション設計レビュー」および「ソースコード診断」の3つのメニューから構成されており、いずれの1つのサービスからでも提供が可能です。また、これらのサービスにより開発プロセスが改善されれば、従前のように稼動直前や稼動後に大きな問題が発見されることが減り、次の開発プロセスの改善に繋げることによって、トータルのセキュリティ対策コストの低減が見込まれます。
「セキュア設計・開発支援サービス」により、年間20件の新規導入と5,000万円の売り上げを見込んでいます。NRIセキュアでは、従来のサービスを向上させつつ、今後も情報セキュリティ分野でのニーズに対応した多様なサービスを提供して、企業の安全なIT利用を促進・支援していきます。
近年、Webアプリケーションなど独自に開発されるシステムの安全性を確保するために、セキュリティ診断を受ける企業が増えています。セキュリティ診断は、すでに稼動している、もしくは稼動直前のシステムの安全性を検査するサービスのため、大きな問題が発見された場合に、対策やプログラムの修正に大きなコストがかかることも少なくありません。
そこで、NRIセキュアでは、システム開発のプロセス自体を見直すことに着目し、開発の各プロセスに必要なセキュリティ対策の実施を支援するサービスを提供することにしました。本サービスは、「セキュア設計・開発ガイドライン策定支援」「セキュアアプリケーション設計レビュー」および「ソースコード診断」の3つのメニューから構成されており、いずれの1つのサービスからでも提供が可能です。また、これらのサービスにより開発プロセスが改善されれば、従前のように稼動直前や稼動後に大きな問題が発見されることが減り、次の開発プロセスの改善に繋げることによって、トータルのセキュリティ対策コストの低減が見込まれます。
「セキュア設計・開発支援サービス」により、年間20件の新規導入と5,000万円の売り上げを見込んでいます。NRIセキュアでは、従来のサービスを向上させつつ、今後も情報セキュリティ分野でのニーズに対応した多様なサービスを提供して、企業の安全なIT利用を促進・支援していきます。
【ニュースリリースに関するお問い合わせ先】
NRIセキュアテクノロジーズ株式会社 コンサルティング事業部 アセスメントチーム
TEL:03-6274-1011 E-mail:
TEL:03-6274-1011 E-mail:
【ご参考】
「セキュア設計・開発支援サービス」を含めたセキュリティ診断サービスの詳細はこちら
●セキュア設計・開発支援サービスの内
(1)セキュア設計・開発ガイドライン策定支援
Webサイトの運営主体に対し、セキュリティ上の考慮事項をまとめたガイドラインの策定を支援します。システム開発を他社に委託する際の要求事項としても利用することができます。
価格:150万円〜
提供ガイドライン例:
・ Webアプリケーション設計・開発セキュリティガイドライン
・ データベースセキュリティ設定ガイドライン
・ OSセキュリティ設定ガイドライン
(2)セキュアアプリケーション設計レビュー
設計中のアプリケーションのセキュリティ設計をレビューし、問題のある設計や考慮が不足している観点を指摘します。NRIセキュアのセキュリティ診断の評価項目に従い、お客様の開発担当者に対して2〜3時間程度のインタビューを行った上で、報告書にまとめます。
価格:50万円〜
主な評価項目:
・ ユーザ認証方式、セッション管理方式のレビュー
・ アクセスコントロール方式のレビュー
・ クロスサイトスクリプティング攻撃やSQLインジェクション攻撃等への対策方針のレビュー
(3)ソースコード診断
Webサイト開発・実装途中に常時安全性を確認するため、システムのソースコードを検査し、セキュリティ上問題のある箇所を指摘するとともに、具体的な対策をアドバイスします。ソースコード、ライブラリ一式をお預かりし、コンサルタントの目視確認と診断ツールを併用して、報告書にまとめます。
価格:200万円〜 (対象ソースコードステップ数によって変動)
主な診断項目:
・ クロスサイトスクリプティング脆弱性のチェック
・ SQLインジェクション脆弱性のチェック
・ セキュリティ要件を有するランダム文字列の生成方式のチェック
・ 設定ファイルのセキュリティ考慮のチェック
・ 認証処理、セッション管理のチェック
対象言語:
・ Java
・ .Net
上記以外の言語(C、C++、PL/SQL、T-SQL、ColdFusion)については、コンサルタントの目視チェックを行わず、ツールの実行と結果の検証のみを行ないます。
●「セキュア設計・開発ガイドライン策定支援」「セキュアアプリケーション設計レビュー」が必要とされる理由
NRIセキュアは、セキュリティ診断サービスの提供を通じて、さまざまなWebサイトで脆弱性を発見し、具体的な対策を提示してきました。その中で、設計段階、もしくは実装を行なう前段で、Webサイトを取り巻く脅威とリスクの分析を行い、必要な対策を盛り込んでおくことで多くの脆弱性を未然に防ぐことができるという結論に達しました。
そのためには、Webサイトの開発者(委託先企業)が設計段階で問題点を洗い出すことや、Webサイトの運営主体と開発者で、満たすべきセキュリティ基準を、お互いが受け入れた状態で開発に着手する必要があります。セキュリティ基準には、インターネットを取り巻く脅威に関する一般的な対策に加え、自社が満たすべき業界/国際基準等に準ずる内容を含んだ、特有の指標を定義する必要があると考えています。
●「ソースコード診断」が必要とされる理由
昨今Webサイトの脆弱性は、根本的なミスによるものより、「漏れ」といった形で現れてくるものが目立つようになってきました。それだけセキュアなWebサイト開発手法、実装技術が定着してきた現状が伺えますが、同時に「漏れ」を防ぐ仕組みを構築するのは難しいとも言えます。十分な対策を行えているにも関わらず、システムのリリース間際の些細な修正時に問題を発生させてしまうと、それまでの対策が水泡に帰す可能性もあります。
このような状況に対応するため、また、実装途中に常時安全性を確認するために、ソースコード自体をチェックするソースコード診断ツールの適用が望ましいと考えます。開発現場(内部)で直接、こういったツールを利用しながら開発を進めていくことが最も効果的ですが、お客様の環境に導入する前に、効果を確認いただけるように本サービスを提供することにしました。
●システム構築における開発工程別「セキュア設計・開発支援サービス」利用マップ
 |
当リリースに掲載されているあらゆる内容の無断転載・複製を禁じます。すべての内容は日本の著作権法及び国際条約により保護されています。
Copyright (c)2007 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
Inquiries : webmaster@nri.co.jp
Copyright (c)2007 Nomura Research Institute, Ltd. All rights reserved. No reproduction or republication without written permission.
Inquiries : webmaster@nri.co.jp