Service

Webアプリセキュリティ検査

Webアプリセキュリティ検査

20 October 2022 / Comments
Service Block Builder

スペシャリストによる目視検査が主体のセキュリティ診断

 ESIの『Webアプリセキュリティ検査サービス』は、

スペシャリストによる「手動チェック」が主体の検査サービスです。

 

手動チェックはプログラムの中から目視で行う

「ソースコード検査」

プログラムの構造・設計が原因の脆弱性も見逃しません!

一般的な脆弱性診断とは違い、

外から確認するだけでは発見が難しい脆弱性もチェック可能!

 

報告書脆弱性が把握できるだけでなく、修正箇所も明確に提示します。

スペシャリストの目視による手動チェックとツールによる自動チェック 

ダブルチェックで検査精度を追求!

致命的なセキュリティ問題を見逃さない

 

お問い合わせ・お見積りのご依頼は

「ソースコード検査」で脆弱性を確認するメリットとは?

 ソースコードをチェックする方式が最も「網羅的・効率的・低コスト」につながる!  

01  構造・設計の脆弱性が見える!内部の問題による脆弱性を把握する

アルゴリズムや関数の使い方など、一見して外からでは見えない内部の問題による脆弱性を把握できます。

構造上・設計上の問題による脆弱性も検査可能。より網羅的な対策が可能です。

 02  修正箇所が明白な報告書を提供できるから、修正がスピーディ!

外からの検査では、問題が見つかった後に問題個所を探して修正しますが、ソースコード検査なら直すべき構造/設計/実装が

すでに明らかなので素早く修正できます! 

03  開発途中でもチェック可能

アプリのセキュリティ構造・設計を早い段階から検査して修正することで、問題が大きく積み重なることを防ぎ、時間・コスト・

リスクを大きく削減。

ESI のセキュリティ検査のポイント

貴社のWebアプリを攻撃から守る!リスクを大幅に低減するために、検査の品質を大切にします。

01  「ソースコード検査」方式 で検査

ESIのセキュリティ検査は「ソースコード検査」を主体としたコード検査です。セキュリティ検査を健康診断に例えると、Web脆弱性診断は患者の様子を外から観て健康状態を診断する方式です。ソースコード検査は血液検査/MRI/CTによる内部の様子を観て健康状態をチェックする方式です。外から観ただけでは判らない、様々な問題も判るのがソースコード検査の利点です。プログラムを動作して外から確認するのはもちろんですが、「中から」もしっかり検査するのがESIの検査サービスです。

02  手動と自動のダブルチェック

ESIのソースコード検査は手動チェックです。ソースコードの検査を技術者の目視によって行います。自動チェックでは「漏れ無くチェック」することが難しい部分も手動により確認します。勿論、手動によるチェックによる漏れも発生します。これを補完するため脆弱性検索ツールを使った自動チェックも併用して可能な限り検査漏れを防止しています。

03  抜群のコストパフォーマンス

手動と自動を併用した高い検査精度、構造/設計上の問題からコードの具体的な問題まで分かるセキュリティ検査です。標準コース以上は中規模以上のアプリケーションのコード全体をチェック可能です。「検査時間」に検査に必要な「調査時間」は含まず、分離して管理しています。「検査時間」が標準的なライブラリやフレームワーク仕様の確認に必要な「調査時間」で減る事はありません。更に長期間のテクニカルサポートと再検査、定期的な再検査時の割引、インシデント初期対応サポートなど検査後のアフターサポートも充実しています。

  

プラス!設計のレビューも行います

ESIの検査レポートは、「国際情報セキュリティ標準」が要求するセキュアプログラミング技術が設計レベルで実装されているかも評価するので、アプリを使用した時の【リスク概要】が分かります。

※「国際情報セキュリティ標準」では、セキュアプログラミング技術の採用を求めています。この標準で要求されるセキュアプログラミング技術に沿った設計/実装でないアプリを利用する脆弱性リスクは年々高まっています。

検査終了後も安心。充実のアフターサポート

検査後も、まだまだ続く! 

01  検査終了後【3ヶ月間】無償テクニカルサポート

 検査結果を見ても意図がわからない、検査結果に誤りがあるように見える、といった場合があります。セキュリティ検査報告書だけで終わってしまうと十分な対応が困難になる場合もあります。テクニカルサポートは3ヶ月間、お問い合わせ数無制限です。(ベーシック、標準、アドバンスドプラン共通)

02  無償再検査サービス(検査完了後3カ月間)

検査完了後にご提供する報告書をもとにソースコードの修正を行っていただきますと、無償で再検査をさせて頂きます。標準・アドバンスドプランには長期のアフターサポートをご用意。検査一発で追加のアフターサポートに必要な検査修了証を発行できれば良いのですが、現在まで修正の必要無しに検査修了証を発行できたことはありません。修正箇所の再チェックが必要です。(標準・アドバンスドプランに無償提供)

 

03  「検査修了証」発行後、15ヶ月間再検査割引

ソフトウェアは生き物です。時間と共に成長します。セキュリティ標準やガイドラインでも定期的なソースコード検査を推奨しています。検査後、15ヶ月以内に再度検査をされる場合には、再検査割引を用意しています。定期的なセキュリティ検査にお役立てください。 (標準・アドバンスドプランに提供)

さらに「検査修了証」ご提示で、3年間無償インシデント初期対応 

 ESIはお客様にセキュリティ検査の結果をコミットしています。

検査修了証をお持ちのお客様のアプリケーションで万が一セキュリティインシデントが発生した場合、初期対応を無償でサポート。

 

インシデントが発生した場合、少なくとも以下の対応が必要です:

● 侵入経路の特定 - アプリケーションログなどからの侵入経路&脆弱なコードの特定

● 攻撃影響範囲の評価 - 脆弱なコードから影響範囲を評価/推定          

● インシデントレスポンス - 混乱しがちな問題発生時の対応をサポート       

 

万が一が無いようにする為のセキュリティ検査ですが、もしもの時も安心です!

検査実績環境の例

アプリ機能の追加時や、定期的な検査にもご依頼いただいています!

B2C情報交換システム

言語:PHP、JavaScript

フレームワーク:CodeIgnitor, Angular

実プログラムファイル数:約1,700

B2B情報交換システム

言語:C#, JavaScript, MS SQL Transact SQL

フレームワーク:.NET + 独自

実プログラムファイル数: 約3,900

B2B情報交換システム

言語:Ruby、JavaScript

フレームワーク:Rails、Vue.js

実プログラムファイル数: 約3,100

B2B情報管理システム

言語:Ruby、JavaScript

フレームワーク:Rails、jQeury

実プログラムファイル数:約6,100

ECシステム

言語:PHP、JavaScript

フレームワーク:FuelPHP、jQuery

実プログラムファイル数:約2,400

会計個人情報管理システム

言語:Scala、JavaScript

フレームワーク:Play2、Vue.js

実プログラムファイル数:約4,100

3つの検査プランをご用意しました

アプリサイズやご要望に応じてご選択ください

各プラン毎に検査時間を設定し、ベストエフォート型でお約束した時間の限り検査を行います。調査時間に検査時間は含みません。

ベーシックプラン
25万円(+税)

ご注文から検査完了まで: 1~2週間

検査時間: 6時間保証

テクニカルサポート( 3ヶ月間無料)*

標準プラン
70万円(+税)

ご注文から検査完了まで:2~3週間

検査時間: 30時間保証

テクニカルサポート( 3ヶ月間無料)*

修正後再検査サービス(無料)

「検査修了証」で15ヶ月間再検査割引と

3年間無償インシデント初期対応

アドバンスドプラン
130万円(+税)

ご注文から検査完了まで:1~2ヶ月

検査時間: 60時間保証

テクニカルサポート( 3ヶ月間無料)*

修正後再検査サービス(無料)

「検査修了証」で15ヶ月間再検査割引と

3年間無償インシデント初期対応

* お問い合わせ数無制限です。

 

この他にも、固定時間制ではなく各ソースコード毎に必要な作業を見積って検査を行う、もっと徹底「カスタムプラン」、SQLインジェクションなどの脆弱性がないことを保証する「保証付きプラン」も選択可能です。詳しくはお問い合わせください。

 

お問い合わせ・お見積りのご依頼は

まずは、「ベーシックプラン」から

「ベーシックプラン」では、アプリケーションの致命的な問題が検出可能。

アプリケーション全体を包括的にチェックすることはできませんが、現状を知るには十分です。

もちろん、標準・アドバンスドプランへ「アップグレード」可能。

詳しくは、ぜひお問い合わせください。

「ソースコード検査しよう!」

こんな企業様のご期待にお応えしています

アプリ開発を委託している方

 

ソフトウェアの「内部品質」検査を行って、品質・安全性がより高いアプリを購入したい!

建物の品質チェックには設計や部品、作り方のチェックが欠かせません。完成後に外から見ても詳しい内部品質は判りません。

ソフトウェアも同じです。完成後にアプリを動作させ外からチェックしても設計/部品/作り方の問題は一部しか判りません。ソースコード検査を主体としたチェックなら、「外から」だけでなく「中から」も状態を確認できます。

 

致命的なセキュリティ問題が潜むアプリを使用したくない!

外部から検査する一般的な「脆弱性検査・診断」では、ソフトウェアの構造や実装の問題の一部、氷山の一角しか発見することができないのです。致命的なセキュリティ問題になるような抜け穴が残ったままの状態で使用することがない様、確認が必要です。

 

顧客情報を守るため、信頼を維持するために、セキュリティには敏感でありたい!

外部の攻撃者により顧客情報が外部に漏洩する/盗まれる、といった問題は単純な構造/設計の問題やミスが原因であることが多いです。現在のアプリケーションは大規模化が進み、非常に複雑です。先ずは基本的な構造/設計に問題がないか、単純なミスがないかチェックするのが効果的。ソースコード検査は、「ITシステムを利用するリスク」の管理には欠かせないツールです。

 

※委託会社に「内部品質」や「構造上・設計上のセキュリティ」について、外からの検査だけではなく「ソースコード」レベルで検査を実施しているか、ぜひ一度ご確認ください。

システム開発者の方

 

「基本的な実装ミス」をなくし、リスク削減ツールとして利用したい!

ソースコード検査を実施しない場合、セキュリティ実装の問題があった時の責任は開発者の責任に。これはコードをチェックしない脆弱性診断を実施している場合も同じで、外部から見つかった問題を直しただけでは「基本的な実装ミス」が無いことは保証できないのです。これらのミスを無くし、より安全性の高いアプリを開発、そして責任のリスクを削減する為に利用したいのが「ソースコード検査」です。

ESIのコード検査には基本的なインジェクション脆弱性がないことを保証する検査も可能。開発者にとってソースコード検査はリスク削減の優れたツールです。

 

書籍や新聞で校正や編集によるレビューが必須だが、同じくプログラムのコードにも必要不可欠だから。

プロの物書きであっても誤りの防止には専門の校正/編集によるレビューが欠かせません。プログラムのコードも同じです。開発者が全てのコードを完璧に記述することを期待する方が間違っています。文章でもコードでも、レビューとチェックは必要不可欠なプロセスです。

 

アプリに「要求仕様”以外”の動作をさせない」ために!

アプリケーションは要求仕様で定めらた動作を実現する為に構築されますが、セキュリティ問題は「要求仕様”以外”の動作」をしてしまうことが問題なのです。開発者の第一のタスクは「要求仕様で定めらた動作を実現」です。「要求仕様”以外”の動作をさせない」は二の次に成らざるを得ない場合があります。アプリケーション開発の構造的問題により、開発者が「要求仕様”以外”の動作をさせない」を実現することが困難になっています。ソースコード検査でこのギャップを補完することがが可能です。

 

 

システム開発管理をする方

 

開発会社の責任が大きく問われるセキュリティ問題、ぜひリスクを削減したい!

ご存知の通り、セキュアコーディングは「国際セキュリティ標準」でも要求される技術。しかし、これが設計/実装に反映されていないソフトウェアが大半です。セキュリティ問題が発生した場合、開発会社の責任が大きく問われます。一般の「脆弱性検査・診断」がソフトウェアに存在するセキュリティ問題全体の1部分しか検出できないのもご理解いただいている通りです。「ソースコード検査」でソフトウェ内部から、そして開発初期/設計段階からのチェックを行うことで、御社のリスクを大幅に削減できます!

 

開発中の早い段階での検査で、大きな修正作業を防ぎコスト削減に!

完成品の検査では後戻りも大きくなりがちです。早め早めのチェック/レビューで効果的にリスクと費用の削減が可能です。

ESIでは開発中の設計レビューとソースコードの検査も行っています。開発中システムの設計およびソースコード検査にはベーシックコースがオススメです。検査後3ヶ月以内であれば、検査内容のテクニカルサポートが付帯/お得に上位コースへのアップグレードが可能です。

 

裁判も増えているし、年々高まっているセキュリティリスクを回避したい!

セキュリティ問題があるアプリケーションによる情報漏洩/データ破壊の責任を開発会社に問われる事例が増えてきています。契約書に記載した以上の損害賠償が認められたケースもあります。2018年5月からは高額な制裁金(10億円以上)で知られるGDPRもEUで施行されました。基本的なセキュリティ問題が残っていた場合に言い訳ができない状況になっています。専門会社に任せることにより、必要な対策を怠っていた責任を問われるリスクが回避可能になります。

 

よくあるご質問

FAQ

クライアント側のJavaScriptコードにも対応しています!

Angular, ReactJS, Vue, ExtJS, JQuery, Ember, TypeScript, CoffeeScriptなどに対応

ストアードプロシージャーの検査にも対応しています!

対応言語

  • PHP / Ruby / Python / JavaScript / Java / Scala / C# / Swift / ObjectiveC 他

対応プラットフォーム

  • Rails / Django / Flask / Node.js / Windows / Linux / Android / iOS 他

対応JavaScript技術

  • Angular, ReactJS, Vue, ExtJS, JQuery, Ember, TypeScript, CoffeeScript 他

対応データベース

  • PostgreSQL / MySQL / SQLite / MS SQL Server / Oracle 他

 

上記以外の技術を利用されている場合、一度お問い合わせください。

対応言語で利用するフレームワークは問いません。独自フレームワークの検査も可能です。

原則に則したコードであることが望ましいですが、セキュアコーディング原則の遵守は検査合格の必須条件ではありません。

アップグレード、検査完了後の再検査はお得です。 info@es-i.jp またはお見積もりフォームからご依頼ください。

その他のご質問

ご相談・ご質問等がございましたら、まずはお気軽にお問い合わせください!

お急ぎの方は、お電話でも承ります。(TEL:0866-90-2131)

 

お問い合わせはこちら

 お見積依頼はこちら

お見積りのご依頼を頂きましたら、3営業日以内にお見積りをお送りいたします。

ご要望に合わせて作成いたします。

 

お見積りのご依頼は

 

ESI の検査はここが違う!

特長のご説明です

「ソースコード検査」と
「脆弱性診断」の違いは?

  

「ソースコード検査」と「脆弱性検査・診断」の大きな違い。

 ソースコード検査: プログラムの「ソースコード」をチェック

(内部/設計を検査)

  脆弱性検査・診断: プログラムの「動作」をチェック

(一般に外部から検査)

 

 建築物に例えてみます。

「建築物」の安全性を確認する場合は、「完成品」を外からチェックするより前に、まずは設計図で確認します。 設計図に構造上の問題がないか確認し、建材の種類・質・数なども安全性の面を考慮して決定した後に、現場が動き始めます。建築途中でも、確認が行われます。完成してからでは、構造や建材は壁の中に隠れてしまうー。では完成した後の確認検査はどうでしょう?外見から明らかな危険なつくりはないか確認したり、建築物の壁を叩いてみて、偶然たたいた個所の音で強度の問題があると分かれば、壁をはがして中の構造をチェックして必要な補強をすることもできますが、叩かれなかった個所で問題があったとしたらどうでしょう?何か問題が起きるまで気づかれない。内部建材の問題なら発見することも、別の建材を使ってやり直すのも、さらに困難です。

 

「ソースコード」は、プログラムの「設計図」です。

「脆弱性検査・診断」は、上の例えで言えば「完成品」の検査で外から壁を叩くようなもの。アプリ完成後に、プログラムを動作させて、外から確認をするのが主体です。

一方、ソースコード検査はプログラムの「設計図」である「コード」を検査します。開発途中でも、完成後も設計図を検査し、隠れた壁の中の構造や設計を検査するので、より効率的に安全なアプリを完成させることが可能になります。問題発生のリスクも、大幅に低減するのはご理解の通りです。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

「国際情報セキュリティ標準」と各種ガイドラインが検査基準。

 

ESIでは科学的な考え方に基づく論理に則ったソースコード検査を行っています。

表面的に判るセキュリティ問題に対応するだけでは、次々に生まれるセキュリティ問題に効果的な対応ができません。セキュリティ問題に効果的に対応するには、科学と論理に基づいた体系的なセキュリティ対策が必要です。

国際情報セキュリティ標準(ISO 27000/ISMS)では体系的なセキュアプログラミング/セキュアコーディング技術の導入を要求しています。セキュアコーディング技術が導入されていない場合、訴訟リスクやGDPR準拠違反リスクが高くなります。セキュリティ検査はこのようなリスクが存在するか、どこが足りていないのか、などが判る必要があります。

ESIのソースコード検査は「ここが脆弱です」では終わりません。

ソースコード検査報告書にはセキュアコーディング技術の導入状況の評価も含まれます。個別のプログラム脆弱性リスクに加え、全体的なプログラム構造/設計のリスクもソースコード検査報告書で分かります。

セキュリティ検査は「ここが悪い」で終わってしまうサービスも多いです。ESIは全ての検査サービスに3ヶ月のテクニカルサポート(お問い合わせ数無制限)が付随します。何故、この構造/設計は脆弱な構造/設計なのか?といった疑問にもお答えします。

以下は、ESIがソースコード検査の基準とするセキュリティ原則/セキュリティガイドラインです。

  • CERT TOP 10 Secure Coding Practices (セキュアコーディング原則 - ISO 27000/ISMSで求められるセキュアプログラミング技術の原則)
  • CERT Secure Coding Standard (セキュアコーディング標準)
  • OWASP Secure Coding Quick Reference Guide (セキュアコーディングチェックリスト)
  • OWASP Code Review Guide (コード検査ガイドライン)
  • CWE/SANS TOP 25 (脆弱性チェックガイドライン)
  • OWASP TOP 10 (脆弱性チェックガイドライン)

 

※ CERT: 米カーネギーメロン大学に設置されたセキュリティ対策の専門機関。セキュリティ認証規格であるCMMIも策定。

※ OWASP: Webアプリケーションセキュリティ対策を推進・啓蒙する団体。PCI DSS規格で参照すべきとされるセキュリティガイドラインを策定・公開。

※ CWE: 米国政府の外郭団体であるMITRE社が管理する脆弱性カタログ。MITRE社はCVE管理など情報セキュリティ関連のプロジェクトに深く関わる。

※ SANS: 米国の情報セキュリティトレーニングや研究を行う団体。CWE/SANS TOP 25はPCI CSS規格で参照すべきとされているガイドラインの1つ。

「手動」と「自動」、ダブル
チェックで安全性アップ!

 

「人」と「機械」の両方で検査します!

弊社では、人がチェックする方式(手動)と機械的にチェックする方式(自動)の「2種類」でソースコード検査を行います。 

機械的なチェックはとても有用ですが、検出漏れと誤検出が多いことが問題。チェック結果の評価にもスキルが必要です。ESIでは機械的なチェックはコード検査に付随する補助的検査として実施しています。

プログラムにより機械的なチェックは信頼性が足りないと感じる方も多いでしょう。セキュリティ検査では「漏れ無く検査」することが重要です。ESIでは、機械的なチェックと人がコードを丁寧にチェックする、両方を行い限られた時間内での検出漏れを可能な限り防ぎます。

「検査時間」 には検査に必要な「調査時間」を含みません。

人がチェックする方式は技術者のスキルに大きく依存する問題があります。ESIではスキルによる検査水準の差異を少くするため「検査時間」 には検査に必要な「調査時間」が含まれていません。

コード検査をすると、一般的なフレームワークやライブラリであってもその仕様を詳しく調べないと「本当にこのコードで大丈夫なのか?」判らないことが少くありません。こういった仕様の調査にも時間が必要です。一般的なフレームワークやライブラリであっても、スキルと知識により必要な時間に大きな差が生まれることも少なくありません。ESIのソースコード検査は固定の検査時間で可能な限りのチェックを行えるよう「調査時間」は「検査時間」に含まれません。この為、調査時間の違いによる検査結果の差異が小さくなります。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

セキュリティ検査の流れ

定期的な検査でセキュリティ強化を!

検査証修了証をお持ちの方は検査完了から3年間、万が一のインシデント発生時の初期対応を無償でサポート!検査後15ヶ月以内に再度検査を行われる場合は再検査割引が適用されます。定期的な検査にお役立てください。

対応する脆弱性・標準・ガイドライン

科学と理論に基づいた体系的なセキュリティ対策!

セキュアコーディング/セキュアプログラミングは国際情報セキュリティ標準(ISO 27000)/ISMSで要求されるプログラミング技術です。OWASP TOP 10、CWE/SANS Top 25はPCI DSSで要求されるセキュリティガイドラインです。

お問い合わせ・お見積りは

セキュリティ対策強化するなら

ベーシックプラン
25万円(+税)

ご注文から検査完了まで: 1~2週間

検査時間: 6時間保証

テクニカルサポート( 3ヶ月間無料)*

標準プラン
70万円(+税)

ご注文から検査完了まで:2~3週間

検査時間: 30時間保証

テクニカルサポート( 3ヶ月間無料)*

修正後再検査サービス(無料)

「検査修了証」で15ヶ月間再検査割引と

3年間無償インシデント初期対応

アドバンスドプラン
130万円(+税)

ご注文から検査完了まで:1~2ヶ月

検査時間: 60時間保証

テクニカルサポート( 3ヶ月間無料)*

修正後再検査サービス(無料)

「検査修了証」で15ヶ月間再検査割引と

3年間無償インシデント初期対応

お問い合わせ数無制限です。

 

 

スペシャリストによるアプリの外と中からのダブル手動チェック

ツールによる自動チェック

3つの方法で攻めるセキュリティ対策!

 

お問い合わせ・お見積りのご依頼は

 

お見積りのご依頼を頂きましたら、3営業日以内にお見積りをお送りいたします。

お急ぎの方は、お電話でも承ります。(TEL:0866-90-2131)

 

About ESI

Electronic Service Initiative, Ltd. は2000年に設立し、Webシステム開発をサポートしてきました。最近は特に自社開発の開発運用ツール提供、セキュアコーディング技術とセキュア開発の普及に努めています。

Contact info

  • 〒719-1165 岡山県総社市西坂台228
  • エレクトロニック・サービス・イニシアチブ有限会社
  • 0866-90-2131
  • info@es-i.jp
Copyright© Electronic Service Initiative, Ltd . All Rights Reserved.
100%