Skip to main content

Webアプリセキュリティ検査

Service Block Builder

Gavias SliderLayer - Code Audit Slider #2

  • Secure Your Web Application
    Webアプリ
    セキュリティ検査サービス
    貴社のWebアプリケーションを攻撃から守る!
    初めてソースコード検査をしたアプリケーションの
    実に、ほぼ100%がリスクが非常に高い脆弱なコードを持っています。

  • Secure Your Web Application
    ソースコードを検査するから、
    構造・設計が原因の脆弱性も見える!
    キーワードは「内部品質」ー。
    「ソースコード検査」だから、一般の「脆弱性検査」と違い、
    外から確認するだけでは発見することが難しい脆弱性も、
    アプリの「内部」からなら簡単にチェック可能!

    致命的なセキュリティ問題を、見逃さない!
  • Sercure Your Web Application
    まずは、「ベーシックプラン」から!
    サービスプランは、選べる「3タイプ」ご用意しました!
    開発途中から完成プログラムまで、ご要望に合わせて
    脆弱性を確認できます。

ESIの Webアプリセキュリティ検査サービスは、

「ソースコード検査」を主体とした検査サービスです。

「ソースコード検査」とは: 構築中および完成したプログラムの脆弱性をプログラムの「中から」確認

一般的な「脆弱性検査・診断」とは:「完成品」の動作チェックで、プログラムの「外から」確認

ESIの「Webアプリセキュリティ検査サービス」はソースコード検査のを主体とした方法で、プログラムの「外から」だけでなく「中から」もWebアプリの脆弱性を確認します。  

プログラムを「建築物」に例えるなら、ソースコードは「設計図」

「建築物」の安全性を確認する場合は、「完成品」を外からチェックするより前に、まずは設計図で確認します。建築途中でも、確認が行われます。完成してからでは、構造や建材は壁の中に隠れてしまうから。完成後でも、外見から明らかな危険なつくりはないか確認をしますが、内部構造・建材の問題なら何か問題が起きるまで気づかれないことが多いです。

「脆弱性検査・診断」は、上の例えで言えば「完成品」の検査で外から壁を叩くようなもの。完成後にプログラムを動作させて、外から確認をするのが主体です。叩かれなかった壁の内部に問題があれば、問題が起きるまで気づかれないー。

もちろん「完成品」のチェックも必要ですが、プログラムの「設計図」である「コード」を検査するソースコード検査は、開発途中でも完成後も、設計図を検査することができ、隠れた壁の中の構造や設計にある脆弱性も検査するので、より効率的に安全なアプリを完成することが可能になります。ESIはソースコード検査を主体とし「外から」そして「中から」も確認するから、問題発生のリスクも大幅に低減します。

では、「ソースコード検査」で脆弱性を確認するメリットとは?

 

一見して外部から見えない部分が原因となっている脆弱性や開発中の検査は、ソースコードをチェックする方式が最も「網羅的・効率的・低コスト」につながり断然有利!

1. 内部の問題による

 脆弱性も把握

アルゴリズムや関数の使い方など、一見して外からでは見えない内部の問題(構造上・設計上の問題)による脆弱性も検査可能。より網羅的な対策が可能です。

 

2.  開発途中でも

 チェックできます

アプリのセキュリティ構造・設計を早い段階から

検査して修正することで、問題が大きく積み重なる

ことを防ぎ、時間・コスト・リスクを大きく削減。

 

 3.  修正箇所が明白だから

 修正がスピーディ!

外からの検査では、問題が見つかった後に問題個所を

探して修正しますが、ソースコード検査なら直すべき構造/設計/実装がすでに明らかなので素早く修正できます!

ESI のセキュリティ検査のポイント

貴社のWebアプリを攻撃から守るため、リスクを大幅に低減するために、セキュリティ検査サービスの品質を大切にします。

1.「ソースコード検査」

方式 で検査

ESIのセキュリティ検査は「ソースコード検査」を主体としたコード検査です。セキュリティ検査を健康診断に例えると、Web脆弱性診断は患者の様子を外から観て健康状態を診断する方式です。ソースコード検査は血液検査/MRI/CTによる内部の様子を観て健康状態をチェックする方式です。外から観ただけでは判らない、様々な問題も判るのがソースコード検査の利点です。プログラムを動作して外から確認するのはもちろんですが、「中から」もしっかり検査するのがESIの検査サービスです。

2.  手動と自動の

ダブルチェック

ESIのソースコード検査は手動チェックです。ソースコードの検査を技術者の目視によって行います。自動チェックでは「漏れ無くチェック」することが難しい部分も手動により確認します。勿論、手動によるチェックによる漏れも発生します。これを補完するため脆弱性検索ツールを使った自動チェックも併用して可能な限り検査漏れを防止しています。

3. 抜群のコスト

パフォーマンス

手動と自動を併用した高い検査精度、構造/設計上の問題からコードの具体的な問題まで分かるセキュリティ検査です。標準コース以上は中規模以上のアプリケーションのコード全体をチェック可能です。「検査時間」に検査に必要な「調査時間」は含まず、分離して管理しています。「検査時間」が標準的なライブラリやフレームワーク仕様の確認に必要な「調査時間」で減る事はありません。更に長期間のテクニカルサポートと再検査、定期的な再検査時の割引、インシデント初期対応サポートなど検査後のアフターサポートも充実しています。

プラス!設計のレビューも行います

ESIの検査レポートは、「国際情報セキュリティ標準」が要求するセキュアプログラミング技術が設計レベルで実装されているかも評価するので、アプリを使用した時のリスク概要が分かります。

※「国際情報セキュリティ標準」では、セキュアプログラミング技術の採用を求めています。この標準で要求されるセキュアプログラミング技術に沿った設計/実装でないアプリを利用する脆弱性リスクは年々高まっています。

 

検査後も、まだまだ続く! ESIのサービス。

検査終了後も安心。充実のアフターサポート

1.  検査終了後、3ヶ月間無償

テクニカルサポート

 検査結果を見ても意図がわからない、検査結果に誤りがあるように見える、といった場合があります。セキュリティ検査報告書だけで終わってしまうと十分な対応が困難になる場合もあります。テクニカルサポートは3ヶ月間、お問い合わせ数無制限です。(ベーシック、標準、アドバンスドプラン共通)

2.  コード修正後の

無償再検査サービス

標準・アドバンスドプランには更に長期のアフターサポートをご用意しています。検査一発で追加のアフターサポートに必要な検査修了証を発行できれば良いのですが、現在まで修正の必要無しに検査修了証を発行できたことはありません。修正箇所の再チェックが必要です。(標準・アドバンスドプランに無償提供)

 

3.  「検査修了証」発行後、

15ヶ月間再検査割引

ソフトウェアは生き物です。時間と共に成長します。セキュリティ標準やガイドラインでも定期的なソースコード検査を推奨しています。検査後、15ヶ月以内に再度検査をされる場合には、再検査割引を用意しています。定期的なセキュリティ検査にお役立てください。 (標準・アドバンスドプランに提供)

さらに「検査修了証」ご提示で、3年間無償インシデント初期対応。

ESIはお客様にセキュリティ検査の結果をコミットしています。検査修了証をお持ちのお客様のアプリケーションで万が一セキュリティインシデントが発生した場合、初期対応を無償でサポートします。

インシデントが発生した場合、少なくとも以下の対応が必要です。

  • 侵入経路の特定 - アプリケーションログなどからの侵入経路&脆弱なコードの特定
  • 攻撃影響範囲の評価 - 脆弱なコードから影響範囲を評価/推定
  • インシデントレスポンス - 混乱しがちな問題発生時の対応をサポート

 

万が一が無いようにする為のセキュリティ検査ですが、もしもの時も安心です。

 

3つの検査プランをご用意しました。

各プラン毎に検査時間を設定し、ベストエフォート型でお約束した時間の限り検査を行います。

検査時間に調査時間は含みません。

ベーシックプラン
25万円(+税)

ご注文から検査完了まで: 1~2週間

検査時間: 6時間保証

テクニカルサポート( 3ヶ月間無料)*

標準プラン
70万円(+税)

ご注文から検査完了まで:2~3週間

検査時間: 30時間保証

テクニカルサポート( 3ヶ月間無料)*

修正後再検査サービス(無料)

「検査修了証」で15ヶ月間再検査割引と

3年間無償インシデント初期対応

アドバンスドプラン
130万円(+税)

ご注文から検査完了まで:1~2ヶ月

検査時間: 60時間保証

テクニカルサポート( 3ヶ月間無料)*

修正後再検査サービス(無料)

「検査修了証」で15ヶ月間再検査割引と

3年間無償インシデント初期対応

*お問い合わせ数無制限です。 

 

この他にも、上記固定時間ではなく各ソースコード毎に合った必要な作業を見積って検査を行う、もっと徹底「カスタムプラン」、

SQLインジェクションなどの脆弱性がないことを保証する「保証付きプラン」も選択可能です。詳しくはお問い合わせください。

まずは、「ベーシックプラン」から。

「ベーシックプラン」では、アプリケーションの致命的な問題が検出可能です。

アプリケーション全体を包括的にチェックすることはできませんが、現状を知るには十分です。

もちろん、標準・アドバンスドプランへ「アップグレード」可能。詳しくはお問い合わせください。

 

対応状況の確認・各種ご相談は

 

「ソースコード検査しよう!」それぞれの選ぶ理由ー。

アプリ開発を委託している方

 

ソフトウェアの「内部品質」検査を行って、品質・安全性がより高いアプリを購入したい!

建物の品質チェックには設計や部品、作り方のチェックが欠かせません。完成後に外から見ても詳しい内部品質は判りません。

ソフトウェアも同じです。完成後にアプリを動作させ外からチェックしても設計/部品/作り方の問題は一部しか判りません。ソースコード検査を主体としたチェックなら、「外から」だけでなく「中から」も状態を確認できます。

 

致命的なセキュリティ問題が潜むアプリを使用したくない!

外部から検査する一般的な「脆弱性検査・診断」では、ソフトウェアの構造や実装の問題の一部、氷山の一角しか発見することができないのです。致命的なセキュリティ問題になるような抜け穴が残ったままの状態で使用することがない様、確認が必要です。

 

顧客情報を守るため、信頼を維持するために、セキュリティには敏感でありたい!

外部の攻撃者により顧客情報が外部に漏洩する/盗まれる、といった問題は単純な構造/設計の問題やミスが原因であることが多いです。現在のアプリケーションは大規模化が進み、非常に複雑です。先ずは基本的な構造/設計に問題がないか、単純なミスがないかチェックするのが効果的。ソースコード検査は、「ITシステムを利用するリスク」の管理には欠かせないツールです。

 

※委託会社に「内部品質」や「構造上・設計上のセキュリティ」について、外からの検査だけではなく「ソースコード」レベルで検査を実施しているか、ぜひ一度ご確認ください。

システム開発管理をする方

 

開発会社の責任が大きく問われるセキュリティ問題、ぜひリスクを削減したい!

ご存知の通り、セキュアコーディングは「国際セキュリティ標準」でも要求される技術。しかし、これが設計/実装に反映されていないソフトウェアが大半です。セキュリティ問題が発生した場合、開発会社の責任が大きく問われます。一般の「脆弱性検査・診断」がソフトウェアに存在するセキュリティ問題全体の1部分しか検出できないのもご理解いただいている通りです。「ソースコード検査」でソフトウェ内部から、そして開発初期/設計段階からのチェックを行うことで、御社のリスクを大幅に削減できます!

 

開発中の早い段階での検査で、大きな修正作業を防ぎコスト削減に!

完成品の検査では後戻りも大きくなりがちです。早め早めのチェック/レビューで効果的にリスクと費用の削減が可能です。

ESIでは開発中の設計レビューとソースコードの検査も行っています。開発中システムの設計およびソースコード検査にはベーシックコースがオススメです。検査後3ヶ月以内であれば、検査内容のテクニカルサポートが付帯/お得に上位コースへのアップグレードが可能です。

 

裁判も増えているし、年々高まっているセキュリティリスクを回避したい!

セキュリティ問題があるアプリケーションによる情報漏洩/データ破壊の責任を開発会社に問われる事例が増えてきています。契約書に記載した以上の損害賠償が認められたケースもあります。2018年5月からは高額な制裁金(10億円以上)で知られるGDPRもEUで施行されました。基本的なセキュリティ問題が残っていた場合に言い訳ができない状況になっています。専門会社に任せることにより、必要な対策を怠っていた責任を問われるリスクが回避可能になります。

 

システム開発者の方

 

「基本的な実装ミス」をなくし、リスク削減ツールとして利用したい!

ソースコード検査を実施しない場合、セキュリティ実装の問題があった時の責任は開発者の責任に。これはコードをチェックしない脆弱性診断を実施している場合も同じで、外部から見つかった問題を直しただけでは「基本的な実装ミス」が無いことは保証できないのです。これらのミスを無くし、より安全性の高いアプリを開発、そして責任のリスクを削減する為に利用したいのが「ソースコード検査」です。

ESIのコード検査には基本的なインジェクション脆弱性がないことを保証する検査も可能。開発者にとってソースコード検査はリスク削減の優れたツールです。

 

書籍や新聞で校正や編集によるレビューが必須だが、同じくプログラムのコードにも必要不可欠だから。

プロの物書きであっても誤りの防止には専門の校正/編集によるレビューが欠かせません。プログラムのコードも同じです。開発者が全てのコードを完璧に記述することを期待する方が間違っています。文章でもコードでも、レビューとチェックは必要不可欠なプロセスです。

 

アプリに「要求仕様”以外”の動作をさせない」ために!

アプリケーションは要求仕様で定めらた動作を実現する為に構築されますが、セキュリティ問題は「要求仕様”以外”の動作」をしてしまうことが問題なのです。開発者の第一のタスクは「要求仕様で定めらた動作を実現」です。「要求仕様”以外”の動作をさせない」は二の次に成らざるを得ない場合があります。アプリケーション開発の構造的問題により、開発者が「要求仕様”以外”の動作をさせない」を実現することが困難になっています。ソースコード検査でこのギャップを補完することがが可能です。

 

 

「Webアプリセキュリティ検査サービス」に関する

お申し込み・お問い合わせ

 

「Webアプリセキュリティ検査サービス」・「ソースコード検査」について、

ご相談・ご質問等がございましたら、まずはお気軽にお問い合わせください!

 対応状況のご確認、各種ご相談・ご質問・お見積り依頼はこちらで受け付けております。

お急ぎの方は、お電話でも承ります。

 

対応状況の確認・各種ご相談は

 

またお見積りのご依頼を頂きましたら、3営業日以内にお見積りをお送りいたします。

 

 

「ソースコード検査」と
「脆弱性診断」の違いは?

  

「ソースコード検査」と「脆弱性検査・診断」の大きな違い。

 ソースコード検査: プログラムの「ソースコード」をチェック

(内部/設計を検査)

  脆弱性検査・診断: プログラムの「動作」をチェック

(一般に外部から検査)

 

 建築物に例えてみます。

「建築物」の安全性を確認する場合は、「完成品」を外からチェックするより前に、まずは設計図で確認します。 設計図に構造上の問題がないか確認し、建材の種類・質・数なども安全性の面を考慮して決定した後に、現場が動き始めます。建築途中でも、確認が行われます。完成してからでは、構造や建材は壁の中に隠れてしまうー。では完成した後の確認検査はどうでしょう?外見から明らかな危険なつくりはないか確認したり、建築物の壁を叩いてみて、偶然たたいた個所の音で強度の問題があると分かれば、壁をはがして中の構造をチェックして必要な補強をすることもできますが、叩かれなかった個所で問題があったとしたらどうでしょう?何か問題が起きるまで気づかれない。内部建材の問題なら発見することも、別の建材を使ってやり直すのも、さらに困難です。

 

「ソースコード」は、プログラムの「設計図」です。

「脆弱性検査・診断」は、上の例えで言えば「完成品」の検査で外から壁を叩くようなもの。アプリ完成後に、プログラムを動作させて、外から確認をするのが主体です。

一方、ソースコード検査はプログラムの「設計図」である「コード」を検査します。開発途中でも、完成後も設計図を検査し、隠れた壁の中の構造や設計を検査するので、より効率的に安全なアプリを完成させることが可能になります。問題発生のリスクも、大幅に低減するのはご理解の通りです。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

「国際情報セキュリティ標準」と各種ガイドラインが検査基準。

 

ESIでは科学的な考え方に基づく論理に則ったソースコード検査を行っています。

表面的に判るセキュリティ問題に対応するだけでは、次々に生まれるセキュリティ問題に効果的な対応ができません。セキュリティ問題に効果的に対応するには、科学と論理に基づいた体系的なセキュリティ対策が必要です。

国際情報セキュリティ標準(ISO 27000/ISMS)では体系的なセキュアプログラミング/セキュアコーディング技術の導入を要求しています。セキュアコーディング技術が導入されていない場合、訴訟リスクやGDPR準拠違反リスクが高くなります。セキュリティ検査はこのようなリスクが存在するか、どこが足りていないのか、などが判る必要があります。

ESIのソースコード検査は「ここが脆弱です」では終わりません。

ソースコード検査報告書にはセキュアコーディング技術の導入状況の評価も含まれます。個別のプログラム脆弱性リスクに加え、全体的なプログラム構造/設計のリスクもソースコード検査報告書で分かります。

セキュリティ検査は「ここが悪い」で終わってしまうサービスも多いです。ESIは全ての検査サービスに3ヶ月のテクニカルサポート(お問い合わせ数無制限)が付随します。何故、この構造/設計は脆弱な構造/設計なのか?といった疑問にもお答えします。

以下は、ESIがソースコード検査の基準とするセキュリティ原則/セキュリティガイドラインです。

  • CERT TOP 10 Secure Coding Practices (セキュアコーディング原則 - ISO 27000/ISMSで求められるセキュアプログラミング技術の原則)
  • CERT Secure Coding Standard (セキュアコーディング標準)
  • OWASP Secure Coding Quick Reference Guide (セキュアコーディングチェックリスト)
  • OWASP Code Review Guide (コード検査ガイドライン)
  • CWE/SANS TOP 25 (脆弱性チェックガイドライン)
  • OWASP TOP 10 (脆弱性チェックガイドライン)

 

※ CERT: 米カーネギーメロン大学に設置されたセキュリティ対策の専門機関。セキュリティ認証規格であるCMMIも策定。

※ OWASP: Webアプリケーションセキュリティ対策を推進・啓蒙する団体。PCI DSS規格で参照すべきとされるセキュリティガイドラインを策定・公開。

※ CWE: 米国政府の外郭団体であるMITRE社が管理する脆弱性カタログ。MITRE社はCVE管理など情報セキュリティ関連のプロジェクトに深く関わる。

※ SANS: 米国の情報セキュリティトレーニングや研究を行う団体。CWE/SANS TOP 25はPCI CSS規格で参照すべきとされているガイドラインの1つ。

「手動」と「自動」、ダブル
チェックで安全性アップ!

 

「人」と「機械」の両方で検査します!

弊社では、人がチェックする方式(手動)と機械的にチェックする方式(自動)の「2種類」でソースコード検査を行います。 

機械的なチェックはとても有用ですが、検出漏れと誤検出が多いことが問題。チェック結果の評価にもスキルが必要です。ESIでは機械的なチェックはコード検査に付随する補助的検査として実施しています。

プログラムにより機械的なチェックは信頼性が足りないと感じる方も多いでしょう。セキュリティ検査では「漏れ無く検査」することが重要です。ESIでは、機械的なチェックと人がコードを丁寧にチェックする、両方を行い限られた時間内での検出漏れを可能な限り防ぎます。

「検査時間」 には検査に必要な「調査時間」を含みません。

人がチェックする方式は技術者のスキルに大きく依存する問題があります。ESIではスキルによる検査水準の差異を少くするため「検査時間」 には検査に必要な「調査時間」が含まれていません。

コード検査をすると、一般的なフレームワークやライブラリであってもその仕様を詳しく調べないと「本当にこのコードで大丈夫なのか?」判らないことが少くありません。こういった仕様の調査にも時間が必要です。一般的なフレームワークやライブラリであっても、スキルと知識により必要な時間に大きな差が生まれることも少なくありません。ESIのソースコード検査は固定の検査時間で可能な限りのチェックを行えるよう「調査時間」は「検査時間」に含まれません。この為、調査時間の違いによる検査結果の差異が小さくなります。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

セキュリティ検査の流れ

検査証修了証をお持ちの方は検査完了から3年間、万が一のインシデント発生時の初期対応を無償でサポート!検査後15ヶ月以内に再度検査を行われる場合は再検査割引が適用されます。定期的な検査にお役立てください。

対応する脆弱性・標準・ガイドライン

セキュアコーディング/セキュアプログラミングは国際情報セキュリティ標準(ISO 27000)/ISMSで要求されるプログラミング技術です。OWASP TOP 10、CWE/SANS Top 25はPCI DSSで要求されるセキュリティガイドラインです。

 「Webアプリセキュリティ検査サービス」に関する

お申し込み・お問い合わせ

 

「Webアプリセキュリティ検査サービス」・「ソースコード検査」について、

ご相談・ご質問等がございましたら、まずはお気軽にお問い合わせください!

 対応状況のご確認、各種ご相談・ご質問・お見積り依頼はこちらで受け付けております。

お急ぎの方は、お電話でも承ります。

 

対応状況の確認・各種ご相談は

 

またお見積りのご依頼を頂きましたら、3営業日以内にお見積りをお送りいたします。

 

 

ベーシックプラン
25万円(+税)

ご注文から検査完了まで: 1~2週間

検査時間: 6時間保証

テクニカルサポート( 3ヶ月間無料)*

標準プラン
70万円(+税)

ご注文から検査完了まで:2~3週間

検査時間: 30時間保証

テクニカルサポート( 3ヶ月間無料)*

修正後再検査サービス(無料)

「検査修了証」で15ヶ月間再検査割引と

3年間無償インシデント初期対応

アドバンスドプラン
130万円(+税)

ご注文から検査完了まで:1~2ヶ月

検査時間: 60時間保証

テクニカルサポート( 3ヶ月間無料)*

修正後再検査サービス(無料)

「検査修了証」で15ヶ月間再検査割引と

3年間無償インシデント初期対応

     お問い合わせ数無制限です。

よくあるお問い合わせ

クライアント側のJavaScriptコードにも対応しています!

Angular, ReactJS, Vue, ExtJS, JQuery, Ember, TypeScript, CoffeeScriptなどに対応

ストアードプロシージャーの検査にも対応しています!

対応言語

  • PHP / Ruby / Python / JavaScript / Java / Scala / C# / Swift / ObjectiveC 他

対応プラットフォーム

  • Rails / Django / Flask / Node.js / Windows / Linux / Android / iOS 他

対応JavaScript技術

  • Angular, ReactJS, Vue, ExtJS, JQuery, Ember, TypeScript, CoffeeScript 他

対応データベース

  • PostgreSQL / MySQL / SQLite / MS SQL Server / Oracle 他

 

上記以外の技術を利用されている場合、一度お問い合わせください。

対応言語で利用するフレームワークは問いません。独自フレームワークの検査も可能です。

原則に則したコードであることが望ましいですが、セキュアコーディング原則の遵守は検査合格の必須条件ではありません。

アップグレード、検査完了後の再検査はお得です。 info@es-i.jp またはお見積もりフォームからご依頼ください。