NRIセキュアテクノロジーズ(NRIセキュア)は7月11日、アプリケーション開発において、ソースコードの記述が最小限で済む「ローコード」と、全く記述する必要がない「ノーコード」の開発基盤を対象に、そのセキュリティ設定や利用環境の安全性を評価する、「ローコード/ノーコード開発基盤のセキュリティ評価サービス」を提供開始したと発表した。

同サービスは、ローコード/ノーコード開発基盤のセキュリティ機能などを調査したうえで、セキュリティ機能を適切に利用できているかなどについて、NRIセキュア独自の指標を基にローコード/ノーコード開発基盤で開発・運用されているアプリケーションのセキュリティ対策の妥当性を評価するもの。

本番環境のアプリケーションを机上評価するだけでなく、基盤の設定内容、開発環境から本番環境に移行(デプロイ)する際のプロセスや、内外部のアクセス経路も考慮した本番環境での運用などについても対象とする。

  • ローコード/ノーコード開発基盤のイメージと本サービスの対象範囲(点線部)ローコード/ノーコード開発基盤のイメージと本サービスの対象範囲

具体的には、まず「ローコード/ノーコード開発基盤によって開発されたアプリケーションではどのような情報を扱うのか」「どこに機微な情報が格納されるのか」「誰がどのようにアクセスするのか」など、考慮すべきアプリケーションの特性を理解する。

その後、アプリケーションの実行基盤にセキュリティ上の欠陥がないか、また開発時・運用時のプロセスも調査し、外部からの攻撃のリスクや、情報漏洩リスクがないかどうか等の評価を行います。課題が見られる箇所については、顧客の既存ルールや運用実態を考慮した代替統制案を含む改善案を提示する。