MBSD® MBSD®

診断対象の単位について

診断対象の選定はどうやって行われるのでしょうか。これは、診断を実施する会社によって様々なカウントの方法が見受けられます。

画面数ベース

システム開発時にも作成される画面遷移図やワイヤーフレームなど画面構成が分かる資料から、対象とする画面(ページ)を決定し、画面の数で見積もりを行うケースです。

penetration_04.png

こちらの利点としては、開発会社、発注元、診断会社共通で対象を把握できる点です。一般的に用いられている単位になるため、すぐに回答が可能です。

リクエスト数ベース

こちらは実際にWebブラウザから対象のWebアプリケーションに対して発生するHTTPリクエストを数え、見積もりを行うケースです。

No リクエスト名 URL
1 ログイン https://XXXXXX/login
2 ログイン処理 リダイレクト https://XXXXXX/login
3 トップページ https://XXXXXX/top
4 登録情報の変更 https://XXXXXX/mypage/edit
5 登録情報の変更 完了 https://XXXXXX/mypage/edit/complete
6 パスワードの変更 https://XXXXXX/password/edit
7 パスワードの変更完了 https://XXXXXX/password/edit/complete
8 ユーザ情報の一覧 https://XXXXXX/userlist
9 ユーザ情報の詳細 https://XXXXXX/userlist/detail
10 ログアウト https://XXXXXX/logout

penetration_05.png

こちらの利点は、診断対象の漏れが発生しにくいことです。実際に発生するHTTPリクエストをカウントしますので、非同期通信やシングルページアプリケーションなど、画面が変わらないようなWebアプリケーションで、診断対象から漏れてしまうようなことや対象が曖昧になることを防ぐことができます。

弊社のWebアプリケーション診断では「リクエスト数ベース」採用しております。

プロフェッショナルサービス事業部

シェアする ツイートする