セキュア開発チーム構築サポートサービス

Security Option

オフショア開発企業におけるセキュリティ

今までオフショア開発企業におけるセキュリティは、開発環境のネットワーク面(VPN)、開発スタッフ入退室へのセキュリティカード導入、情報マネジメント全般に関するISMS取得にとどまっていました。
今回、コウェルが提供するセキュリティサービス「セキュア開発チーム構築サポートサービス」は、開発体制そのものに関する取り組みです。

コウェルのラボ型開発では、「セキュア開発チーム構築サポートサービス」による上流工程でのセキュリティを意識した開発体制の構築を目指し、「ビルトインセキュリティ」の概念を導入、開発工程全般にわたりセキュリティを向上させていきます。

具体的には、外部からのWebアプリケーションの脆弱性テスト(DAST)、ソースコードレベルの脆弱性テスト(SAST)を外部の検査業者に委託せずにオフショア開発の現場で実践できるメニューをご用意しました。さらに、要件定義、設計段階からセキュリティを意識した取り組みが可能なメニューもご用意しております。

 

「セキュア開発チーム構築サポートサービス」では、お客様がご契約いただいたラボ型の開発チームと、お客様の自社開発スタッフがセキュリティ意識の高い「協働」ができる体制の構築が可能です。

 

セキュリティー

ビルトインセキュリティとは

下記の例にあるような一般的なセキュリティ対策では、設計段階で既に発生している脆弱性についての認識が漏れていたり、脆弱性の優先順位付けを脆弱性の危険度のみで検討するなどの対応傾向が見られます。

 

[一般的なセキュリティ対策例]

1.脆弱性の有無を診断する
2.発見された脆弱性に対して後からなんとかして塞ぐ

 

しかし、脆弱性対応の優先順付は、本来的には情報アセットの価値やインシデントのインパクトに応じて検討することが理想です。

コウェルは、設計の上流工程からセキュリティを組み込んでいく「ビルト・イン・セキュリティ」をオフショア開発の現場にも取り入れることで、そのような情報アセットの重要度や価値についての考えを視野に入れながら、どのような対策を施していくかをご提案していきたいと考えています。

 

ビルトインセキュリティの考え方

 

ビルトインセキュリティの取り組み

2種類のテスト手法

 

開発したシステムを外部の検査機関を利用せずに、より開発現場に近いところで脆弱性テストを行うことで、トータル開発期間、費用を圧縮することが可能になります。
2種類のテスト手法をパッケージメニューにしました。

 

診断テスト方法 概要 採用ツール 特徴
1 動的スキャンDAST:Dynamic Application Security Testing
・BlackBoxTest
・Webアプリケーションが普及し始めた2000年代当初に主流となり、外部からWebアプリケーションにさまざまな入力を与え、その出力結果を元に脆弱性の有無を判断するテスト方式。
・この方法では容易に検査が行える反面、基本的にアプリの中身は除かないブラックボックステストで、網羅的な検査ではないといった課題がある。
PortSwwigerWeb Security社「BurpSuite」 ・高機能なPROXY型ソフト・脆弱性を外部からテストでき、無償版も提供しており国内でも利用者は多い。
2 静的スキャンSAST:Static Application Security Testing
・WhiteBoxTest
・Webアプリケーションのソースコード自体を検査して脆弱性を見つけ出すテスト。網羅的に、まだ開発が終了していない段階でも検査が行えるというメリットがある。
・しかし、脆弱性として報告されたものの中に、単なる「コーディング規範違反」が含まれることもあり、使いこなすにはある程度開発に関する知識が必要とされるなどややハードルが高い。ホワイトボックステストともいわれる。
Cigital社「SecureAssist」 ・世界で最初にSASTのツールを提供した老舗企業。

 

DAST/SAST
セキュリティ・チェック(テスト)の分類

サービスメニュー

 

お客様のステージにあわせて3つのプランをご提供いたします。
お客様の状況にあわせプランを選択、組み合わせることで徐々にセキュアなシステム開発体制を構築することが可能です。
徐々にセキュアなシステムに

サービス内容\プラン名 概要 Basic Advanced Gold 通常のラボ契約
動的スキャン(DAST)・ツール ・DASTツールを利用しスキャン(BurpSuite)
・報告書を提出、説明会
静的スキャン(SAST)・ツール ・SASTツールを利用しスキャン(Cigital Secure Assist)
・報告書提出、説明会
静的スキャン(SAST)・手動 手動でのソースコードレビュー
ウェブ健康診断 IPAが定めるウェブ健康診断を実施
セキュアコーディング導入支援 1) 設計レビュー
2) ドキュメント整備支援
3) セキュリティテスト
ペネトレーションテスト ツールと手作業の兼用により、実際に攻撃手法を試しながら安全性の懸賞を実施。
(予定)
コード改修 上記作業で検出された脆弱性を改修する作業は、通常のソフトウェア開発、テストで別途契約いただくラボ契約で実施されます。
価格(税別) 50,000円/2回/システム 200,000円/月 個別見積 別途問い合わせ
契約期間 3ヶ月 個別相談
対応言語 .NET、PHP、JAVAなど
※Android、iOSなどは別途提供予定
対象 弊社とのラボ契約を締結/定形つ予定のお客様

セキュア開発チーム構築サービス各プラン詳細

 

1.DAST(Basicプラン)

項目 説明
概要 外部からお客様システムの脆弱性の有無をチェックします。
該当プラン プラン名:Basic
費用:5万円/回/システム(税別)
採用ツール Port SwwigerWeb Security社 BurpSuite
サービス内容 ・弊社が用意したBurpSuite環境を通して、お客様システムを弊社でテストします。
・1システムの管理用/公開サイト用にURLを2つをテスト。初回と脆弱性修正後の合計2回のテストが可能
・報告書、報告書説明会(1時間想定)
・テストはベトナムで実施
必要品 ・テスト対象のURLもしくはIPアドレス

 

2.SAST(Advancedプラン) 

項目 説明
概要 お客様のラボ契約のDTチームスタッフのPCにSASTツールをインストールし、開発現場で繰り返しテストできる環境をご提供します。
該当プラン プラン名:Advanced
費用:20万円/月(税別)、最低利用期間:3ヵ月、月5時間上限
採用ツール Cigital社 SecureAssist

開発環境 ファイルタイプ サポートIDEs
JAVAベース JEE, JSP,XML,FTL,properties,PHP Eclipse 3.2-4.3RAD7.0,7.5,8.0,9.0MyEclipse6.6,8.6,9,10,2013
.NETベース C#,VB,NET,ASPX Microsoft Visual Studio2008,2010,2012,2013
サービス内容 ・SecureAssistを1ライセンス提供
・弊社セキュリティ専属スタッフによるテスト準備、テスト実施、報告書作成、報告書説明を実施
・上記セキュリティ専属スタッフの稼働時間が5時間まで
・テストはベトナムで実施
・Basicプランを含む
必要品 ・ソースコード一式
3-1.ウェブ健康診断(Goldプラン)
ウェブサイトを人間に例えるなら、その名のとおり 「健康診断」にあたる診断で、「基本的なセキュリティ対策が出来ているかどうかを診断する」プランです。
検査対象のサイトのどのページにどのテストを行うかのテスト設計が必要になります。
なおテストは、診断対象のウェブアプリケーションの全てのページを診断するものではなく、抜き取り調査(診断)が基本となります。(診断対象の規模にもよります)
【ウェブ健康診断(Goldプラン)サービス概要】
・作業内容:ウェブ健康診断(Goldプラン)では、ご要望に応じて、ウェブ健康診断をうけるために必要なテスト設計の作成代行、テストの実施、報告書の作成、報告書の説明会を実施します。
・費用:個別見積もりでのご提供になります。
 
3-2.セキュアコーディング導入支援(Goldプラン)
ドキュメント・レベルでのセキュリティをチェックするサービスです。チェックに必要なドキュメントの作成も支援いたします。
基本的に日本人スタッフが支援いたします。
【セキュアコーディング導入支援(ご)サービス内容】
・設計レビュー
お客様のソフトウェアの要件定義書、仕様書をセキュリティの脆弱性の観点からレビューを行います。
・ドキュメント整備支援
記の設計レビューには、要件定義書、仕様書、セキュリティ要件定義書などの整備がされていることが必要になります。整備されていない場合は、その作成作業を支援します。
・セキュリティテスト
セキュリティ要件仕様書に基づき、セキュリティ・テスト仕様書を作成し、テストを実施します。
・設計レビュー
【費用】
個別見積もりでのご提供になります。

 

セキュア開発チーム構築サポートサービスご利用上の注意

  1. 1.本サービスのテスト結果は、セキュリティの脆弱性を完全に担保・保証するものではありません
  2. 2.DAST/SASTのテストにより発覚した脆弱性を、どのレベルまで修正・対応するかの判断はお客様の判断になります。
  3. 3.DAST/SASTは、現在採用している各ツールの仕様に準じて提供され、将来的に採用・提供するツールは変更される場合があります。
  4. 4.脆弱性を修正する作業・工数は、本サービスには含まれません。別途契約いただいているラボ型契約の工数・人員にて修正作業を行います。

 

株式会社コウェル

株式会社コウェル

  • A:東京都品川区東品川二丁目2番33号
    Nビル3F
  • E:info@co-well.jp
  • T:03-5783-4511
  •  
Vietnam Hanoi

CO-WELL ASIA Co .,LTD

  • VIETNAM (Hanoi)
  • Hanoi (Headquarter) : 3D Building, Duy Tan Str,
    Cau Giay Dist, Hanoi, Vietnam 10000
Vietnam Da Nang

CO-WELL ASIA Co .,LTD

  • VIETNAM (Da Nang)
  • Da Nang (Branch): 12nd Floor, Vinh Trung Plaza,
    255-257 Hung Vuong St., Thanh Khe District, Da Nang