本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

同意する
閉じる
お問い合わせ
検索
セキュリティナレッジ
ニュース
採用
ソリューション
企業情報
ニュース
採用
お問い合わせ

シフトレフト支援サービス(設計レビュー/設計アドバイザリ)

背景

昨今、DevOps/アジャイルといった開発サイクル(SDLC)を採用する企業が増加する一方、金融業界のアプリケーションや大規模システム開発では、高い信頼性・可用性・コンプライアンス適合性が求められるため、要件定義から設計・実装・検証までを厳密に管理するウォーターフォール開発が今なお重要な選択肢として位置づけられています。
ウォーターフォール開発において、品質・セキュリティの向上を目的にシフトレフト推進を図ったものの、セキュリティ担当のリソース不足により浸透が難航し、設計判断の妥当性に確信が持てないまま開発が進んでしまうという課題が多くの企業で顕在化しています。MBSDではこうした課題に対応するため、セキュア設計により確実な堅牢性を実現する「シフトレフト支援サービス(設計レビュー/設計アドバイザリ)」を提供しています。

サービス内容

本サービスでは、MBSDのセキュリティ専門知見をもとに、お客様のWebアプリケーション等の開発初期段階から、セキュリティリスクを踏まえた設計をご支援します。MBSDは創業以来、金融・情報システムを中心に多様な業種のアプリケーション等に対して、8,000件以上のセキュリティ診断を提供してきました。脆弱性診断で蓄積した攻撃者視点の知見や検出傾向ナレッジを活用し、ミッションクリティカルな脆弱性を予防するセキュリティ要件を確実に提言します。
本サービスで高い予防効果が期待できる以下の脆弱性は、いずれも攻撃者によって能動的に悪用される可能性がある重要な問題であり、OWASP TOP10でも常に上位に挙げられています。


  • 認証・セッション管理の設計不備(トークン設計、セッション窃取、なりすまし等)
  • アクセス制御の設計欠如(権限モデルの未定義、水平・垂直権限昇格の考慮漏れ等)
  • 入力検証・出力エンコードの設計欠如(インジェクション系脆弱性の作り込み等)

MBSDが長年の脆弱性診断による支援実績において、高危険度脆弱性の大半が、脅威や攻撃シナリオの考慮漏れに起因しています。事前に脅威の検討・安全性に関する非機能要件が定義されていなければ、実装段階におけるセキュアコーディングは対症療法にとどまり、最悪の場合セキュリティを考慮した実装そのものが行われない事態になりかねません。

サービスの特長

本サービスでは、設計レビューと設計アドバイザリ(セキュア設計書作成)の2つのアプローチでセキュア設計支援をご提供します。両サービスともに、初動では、お客様からご提供いただくドキュメント・アーキテクチャ資料・データフロー図等をインプットとした脅威モデリングを行い、システムに対する攻撃シナリオと潜在的脅威を体系的に洗い出します。設計レビューでは、お客様の作成された設計書をもとにセキュリティ検証を実施し、改善提案をレポートとしてご提供し、設計アドバイザリでは、要件定義・設計の初期段階からセキュアな設計書作成も含め包括支援いたします。

shift-left-support_features

設計レビュー

お客様の作成された設計書をインプットとして、攻撃者視点でのセキュリティ検証を実施します。脅威モデリングの手法に基づき、攻撃シナリオを体系的に洗い出したうえで設計上の問題点を特定し、優先度付きの指摘事項とともに改善提案をレビューレポートとして提供します。

  • 適したタイミング:設計書ドラフト段階から内容最終化前まで

  • 提供物:セキュア設計レビューレポート
  • 関与形態:スポット対応

設計アドバイザリ(セキュア設計書作成)

要件定義・設計の初期段階からMBSDのエンジニアが参画し、脅威モデリングを起点としたセキュリティ要件の定義から設計判断への継続的なフィードバックを提供します。脅威の体系的な整理・推奨設計案の提示・非機能要件への落とし込みを通じて、セキュアな設計書を作成支援いたします。

  • 適したタイミング:要件定義・設計の初期段階

  • 提供物:セキュア設計書(推奨設計案)、継続的な技術フィードバック
  • 関与形態:プロジェクト伴走

対応範囲

本サービスはWebアプリケーションの設計・アーキテクチャを対象とします。

対象ドキュメント例

  • 基本設計書・詳細設計書
  • 認証・認可設計書
  • API設計書
  • データフロー図・システム構成図

準拠基準

  • OWASP Top 10
  • OWASP Application Security Verification Standard(ASVS)
  • NIST SP 800-63(認証・認可設計における参照基準)

提供フロー

STEP 1|お問い合わせ・ヒアリング

サービス内容のご説明およびプロジェクトの要件・概要・課題・スケジュールのヒアリングを実施します。

STEP 2|アプローチのご提案

ヒアリング内容をもとに、設計レビュー・設計アドバイザリのいずれが適切かをご提案します。

STEP 3|資料のご提供・準備

支援対象となる設計書・アーキテクチャ資料をご提供いただき、レビュー・分析の準備を行います。

STEP 4|支援の実施

脅威モデリングを起点に、設計レビューまたは設計アドバイザリを実施します。

STEP 5|報告・フォローアップ

検出内容・改善提案の報告を行います。設計アドバイザリの場合は継続的なフィードバックへ移行します。

関連コラム

shiftleft_column
サービス資料のお申込みはこちら


本サービスに関するお問い合わせはこちら

お問い合わせ