NRIセキュアテクノロジーズ(NRIセキュア)は11月26日、アプリケーションをセキュリティの観点からレビューし、改善策を提案するサービス「セキュアアプリケーション設計レビュー」を刷新し、提供を開始した。

今回の刷新では、DX(デジタルトランスフォーメーション)時代に開発されるWebアプリケーションなどのセキュリティレベル向上に主眼を置き、従来は完成した設計書に対して行っていた設計レビューを、要件定義・設計段階などの上流工程で行うシフトレフトに対応。

  • 「セキュアアプリケーション設計レビュー」および周辺サービスの対象と、手戻り発生時の修正対応コストの関係

    「セキュアアプリケーション設計レビュー」および周辺サービスの対象と、手戻り発生時の修正対応コストの関係

同サービスの特徴として、NRIセキュアの専門家がWebアプリケーションの設計資料を評価し、担当者へのヒアリングを実施することで、セキュリティ上の課題を早い段階で洗い出すことで、サービス仕様上の問題とアプリケーションの脆弱性が重なることで、初めてリスクとして顕在化するケースなども見つけ出すことができるという。

また、設計書が作成されていない要件定義の段階においても、担当者へのヒアリングや設計会議への参加を通じて、セキュリティの観点からレビューを行うことを可能としている。

さらに、開発ベンダごとに書式や記載内容が異なる設計資料にはセキュリティ上の課題が明文化されていないものも多く、資料を確認するだけでは課題を見過ごしてしまう危険があることから、これまで行ってきたセキュリティ診断や各種設計書のレビューで培った知見を集約し、独自のヒアリングシートを新たに作成。これにより、設計時に考慮すべき観点を確認し、問題点を抽出するという。

加えて、上流工程の評価では複数回のヒアリングを行うことが一般的だが、同サービスではセキュリティ診断の専門家が設計資料を事前に分析し、観点として抜けている部分のみ上記のシートを利用してヒアリングを行うことで、担当者の負担を低減するとしている。

そのほか、これまで実施してきた5,000件以上のWebアプリケーション診断の実績に基づく評価項目をベースに、熟練のテクニカルコンサルタントが評価を実施。対象のシステムや顧客の業種に即した、最新の攻撃トレンドとインシデント事例を考慮して、問題点を抽出し、最も実効性の高い対策を提案するという。