Webアプリソースコード検査サービス

Webアプリケーションの安全性検査は非常に複雑で多くのコストが必要な作業です。一般のWebサイト検査はセキュリティチェックにツールを利用したブラックボックステスト(外部から脆弱性が存在するかチェックするテスト)を行います。ホワイトボックステスト(内部仕様を把握した上で、仕様を検査するテスト)ではソースコード・設定ファイルをチェックします。弊社ではホワイトボックス検査(ソースコード検査)をお勧めしています。

ソースコード検査とWebサイト検査の違い  

弊社ではWebセキュリティ検査はホワイトボックステスト(ソースコード検査)を基本としています。必要に応じて、ブラックボックステスト(外部からのWebサイト検査)の両方をご提供しています。ソースコード検査の場合、検査コースに合わせた検査証の発行も行っています。検査に適合したサイトには万が一インシデントが発生した場合の無料初動対応サポートが添付されます。

ホワイトボックス検査
(ソースコード検査)
ブラックボックス検査
(外部から診断)

人間ドックのように血液検査、内視鏡検査、MRIやCTによる検査のようにWebシステム内部の状態を直接検査

利点

  • 検査した範囲が明確
  • 問題の原因が明確
  • 修正箇所が明確
  • 設計レベル/コーディングレベルの問題点を把握可能
  • 広範囲の検査が可能で費用対効果が高い

欠点

  • 検査可能なWebシステムの言語が限られる
  • ツールが利用できない部分の検査品質がエンジニアのスキルに依存しやすい
  • 運用環境での設定ミス(意図しないファイルの公開など)の検出には適さない

健康診断のように外部から検査して明らかな問題がないか診断するテスト

利点

  • Webアプリどれでもチェック可能
  • ソースコード無しでチェック可能
  • 設定ミスなどの検出に強い
  • ツールを用いる事で検査品質の均一化が容易

欠点

  • 問題の原因が不明確
  • 修正箇所が不明確
  • プログラムの脆弱性検査は限定した範囲(ページ指定など)の検査であることが多く、検査カバー範囲の費用対効果は比較的低い場合が多い

 人間の健康チェックと同様にコンピュータシステムにも内部情報を参照し、問題や異常がないか、問題や異常の兆候がないか確認した方がはるかに正確な状態を確認できます。 

ブラックボックス検査ではSQLインジェクション脆弱性がないことを保証することは非常に困難です。しかし、ホワイトボックス検査の場合はSQLインジェクション脆弱性がないこを保証可能です。ソースコード検査では数百ビュー(数百ページ)の検査が容易かつかなり確実に行えます。ブラックボックス型検査の場合、数百ビューの網羅的検査は高価であることが多く、ソフトウェア品質(コード品質)としてSQLインジェクションリスクの評価はできません。

 

選べるソースコード検査サービス

簡易で安価なサービスから本格的なサービスまで対応しています。見積もり無しで即検査可能なベストエフォート型3種類と個別見積り型のソースコード検査サービスをご用意しています。

■ソースコード検査コース

  1. ブロンズ: 簡易診断コース  - 25万(+税)
  2. シルバー: 危険な脆弱性を検出するコース - 70万円(+税)
  3. ゴールド: 潜在的な危険性も検出するコース  - 130万円(+税)
  4. プラチナ: あらゆるリスクに対応する個別見積り型  - 参考価格: 170万円(+税)から

対応言語: PHP、Ruby、Python、C#、Java、Scala、JavaScript、他言語はお問い合わせください。
対応フレームワーク: メジャーなフレームワークに対応。カスタムフレームワークにも対応。詳しくはお問い合わせください。

ブロンズ、シルバー、ゴールドはベストエフォート型の固定価格サービスです。ベストエフォート型のチェックは可能な限り詳細にソースコードを解析し、脆弱性を発見するサービスです。早くWebサイトの安全性を評価したい場合、繰り返しソースコードの安全性をチェックしたい場合、 手軽にWebサイトの脆弱性を検出したい場合にご利用ください。1万行のシステムであっても、50万行のシステムであっても同じ価格でサービスをご 提供します。ソースコードの量が多いほど検査の精度が低下します。大規模なシステムの場合、検査対象の特に気になる部分のコードに限定し、精度 を向上させることも可能です。

プラチナ(個別見積り型)は詳細なソースコード検査のみでなく、システム全体・開発体制としてセキュリティを維持されたい場合に最適です。ネットワーク・アプリケーション設計、ソースコードなどレビューからセキュリティ維持コンサルティングや教育・研修、Webサイト開発におけるのあらゆるセキュリティニーズに対応します。

ブロンズ: 簡易診断コース - 25万円(+税)

脆弱性が存在するか?全体的なコードの安全性はどれくらいか?評価にお困りではありませんか?とにかく安く、速くチェックしたい方向けのサービスです。弊社ではソースコード中に含まれるリスクを、スキルを持った エンジニアがソースコードを解析し、リスク評価を行います。低価格であっても外部から脆弱性を検出するブラックボックステスト型のセキュリティチェックでは検出できない問 題の有無を検出します。

新しいシステムの稼働前や既に稼働中のシステムのセキュリティチェックにご活用ください。

  • 対象: 対応環境で構築されたシステム
  • 価格: 25万(+税) - 1システムあたりの価格
  • 納期: 受注から約1週間
  • 再検査: 付帯サービスなし
  • レポート : 危険性が高い問題の有無をご報告します。
  • 特徴: ソースコードの安全性を確認するには有効です。この検査で脆弱性が見つかる場合、更に詳しい検査をお勧めします。
  • オプション: コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。

簡易検査で問題が発見された場合、さらに詳しい検査が必要です。上位コースでの検査をお勧めします。上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。

シルバー: 危険な脆弱性を検出するコース - 70万円(+税)

攻撃される危険性が高いコードを特定するより本格的なソースコードチェックです。一般的なブラックボクス型のセキュリティチェックより低価格でありなら、ソースコード全体をチェックを行うコードレベルのセキュリティ検査を行います。

  • 対象: 対応環境で構築されたシステム
  • 価格: 70万(+税)- 1システムあたりの価格
  • 納期: 受注から約2週間
  • 再検査: 検査後3ヶ月以内に再検査一回
  • レポート : 危険性が高い問題の箇所(ソースコードの問題箇所)と問題の解説をご報告します。
  • 特徴: 全体的なソースコードの安全性を確認するには有効です。この検査で脆弱性が見つかる場合、更に詳しい検査をお勧めします。
  • オプション: コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。

検査後さらに詳しい調査を行うために上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。

ゴールド:  潜在的な脆弱性も検出するコース - 130万円(+税)

本格的なソースコードレベルでのセキュリティ検査が可能なコースです。

  • 対象: 対応環境で構築されたシステム
  • 価格: 130万(+税)- 1システムあたりの価格
  • 納期: 受注から約4週間
  • 再検査: 検査後3ヶ月以内に再検査一回
  • レポート: 危険性が高い問題の箇所(ソースコードの問題箇所)と問題の解説に加え、弊社がソースコード中に発見した潜在的な脆弱性もご報告します。
  • 特徴: 多くの場合、ソースコードに含まれるほとんど脅威を検出可能です。この検査で脆弱性が見つかる場合、更に詳しい検査をお勧めします。
  • オプション: コードレビューの説明会、脆弱性を利用した攻撃の実証コードの作成(個別お見積)、その他、ご希望を承ります。

検査後さらに詳しい調査を行うために上位コースへのアップグレードした場合、料金を割引くサービスもございます。詳しくはお問い合わせ下さい。

プラチナ: 個別見積りタイプ - 参考価格 170万円(+税)から

本格的なソースコード、Webサーバ設定の検査サービスです。PCI DSSなどで求められるレベルのソースコード検査を行います。ソースコード、Webサーバ設定、データベース設定などWebシステム全体がセキュアな状態であるかチェックします。Webシステムの構築から運用までトータルでセキュアな環境構築のサポートも可能です。ブラックボックス検査(一般のWebサイト診断はブラックボックス検査です)並の価格で本格的なソースコードを行えます。

価格: 個別お見積り。参考価格 - 1システム170万円(+税)から

参考事例1
約20万行のソースコードを詳細に検査し、脆弱なコード/設計のレポート作成。
開発担当者への検査結果説明会を実施。

参考事例2
設計段階からカットオーバまでセキュリティ上脆弱な設計/コードを継続的にチェック。
開発担当者へのセキュリティー研修を実施。

■対応環境

対応言語

  • JavaScript / PHP(フレームワークを問いません)/ Ruby(Rails)/ Perl / Python / C#(.NET)/ C/C++(Cアプリ全般。PHP/Zepier/Phalconモジュールなど) / Java(Struts、Spring、Androidなど)

対応データベース

  • RDBMS(PostgreSQL、MySQL、SQLite、Oracle、MS SQL Serverなど)
  • NoSQL(MongoDB、Redis、Memcacheなど)

対応システム

  • JavaScript/PHP/Perl/Ruby/Python/Java/.NET/iPhone/Android
  • PostgreSQL/MySQL/Oracle/MS SQL Server/etc
  • IIS/Apache httpd/Nginx/etc

対応するセキュリティ標準・セキュリティガイド

  • ISO27000 / PCI DSS / CWE / CAPEC / CWE SANS TOP 25  / OWASP TOP 10 / OWASP Guide

参考: ソースコード検査に耐えるコードとは?(PDF)

検査合格証とアフターサポート

検査完了後3ヶ月、検査内容について自由にご質問頂けます。各コースの検査に合格した場合、検査合格証を発行いたします。検査合格証は、万が一のセキュリティインシデント発生時の無料インシデント初期対応コンサルティングのクーポンになります。

検査合格証発行基準

  • 各コースのセキュリティ検査で危険な脆弱性・リスクが高いコーディング方法が全く検出されないこと

今までの検査実績からほぼ100%コードの修正が必要です。シルバーコース以上では再検査1回(検査完了後3ヶ月以内)が含まれます。基準を満たさない場合、検査合格証は発行できません。予めご了承ください。

 

ソースコード検査のお申し込みとサービスの流れ

  1. お問い合わせ からセキュリティ検査を依頼
  2. 見積&ご注文(ご契約)
  3. ソースコードの開示(ソース送付。Visual Studio Team Server, GitHub等にも対応)
  4. セキュリティ検査を実施
  5. セキュリティ検査レポートの送付&ご請求
  6. 検査説明会オプションをご利用の場合は説明会実施

 

その他のセキュリティ関連製品とサービス

  • PROVE for PHP : Webセキュリティ維持には利用するシステムを最新の状態に維持する事が欠かせません。PHPのバージョンアップを容易にするPROVE for PHPを開発・販売しています。詳しくはPROVE for PHPのホームページをご覧ください。
  • セキュアWeb開発研修 : 開発者が自ら安全なWebアプリケーションを構築可能となるWeb開発研修を行っています。
  • セキュアコーディング標準導入 : セキュアプログラミング技術はISO 27000の要求項目です。セキュアコーディング標準の導入/構築を支援します。
  • SAMM導入 : 能力成熟度モデル型の管理モデル導入サービスです。セキュア開発プロセスを比較的容易に導入できることが特徴です。詳しくはSAMM導入サービスをご覧ください。
  • テクニカルサポート: セキュリティから技術的なコンサルティングをお客様のニーズにあわせてご提供しています。

問い合わせ先