電子商取引のビジネスの中核であるWebシステムに対して、攻撃の原因を作らない実装をご支援するサービスです。既に運用中のWebシステムに対しては、課題点の分析、評価を行い、最適な対策のご提案ならびに対策実施を行います。
アプリケーションの設計-開発-テスト-運用の各局面において、脆弱性対策を意識したワンストップのアプリケーション構築支援サービスを提供します。
運用中のWebシステムに存在するセキュリティ上の課題点に対して、最適な対策のご提案ならびに対策実施を行います。
攻撃の原因を作らない
システム開発の全工程にわたり、攻撃の原因を作らないセキュリティ実装をワンストップで提供します。
- ラックのセキュリティ技術と、グループ会社であるエー・アンド・アイ システム株式会社(A&I)のシステム開発技術を融合してワンストップサービスを実現します。
運用中のWebへの対策
運用中のWebシステムに対しては、緊急度を考慮して攻撃の影響を低減する対策を実施します。
- 脆弱性調査、運用上の課題点、お客様のご要望の確認を行い、ビジネスへの影響度を考慮の上、緊急度の高い脆弱性への対策から提案、対応策を実施いたします。
Webのすべての構成要素が対象
Webシステムのすべての構成要素に対して、一貫した設計〜対策導入を実施します。
- サーバ、OS、データベース、Webアプリケーションサーバ、アプリケーションすべてを対象としてサービスを提供します。
- 上記以外のIT基盤全体に対しても、お客様のご要望にあわせて、要件定義から構築、運用までのセキュアなシステム構築をご支援します。
Webシステム開発時のセキュリティ実装サービス
| Webシステム開発時のセキュリティ実装サービス | |
|---|---|
| 開発ガイドライン作成 | コンピュータセキュリティ研究所(CSL)やJSOCにて発見された最新の攻撃手法や脆弱性の情報を基に、構築するWebシステム向けの脆弱性対策開発ガイドラインを作成します。ガイドラインの記載範囲はIT基盤全般にわたり、ネットワーク構成、Webサーバ、アプリケーションサーバ、データベースサーバなどで実施しなければならない対策を、包括的に記載します。また、内容はポリシーに留まらず、使用する開発言語に合わせて具体的な対策を記載します。 |
| ソースコード診断 | アプリケーションのソースコードを解析し、セキュリティ上の問題点を検出し、原因や問題の内容、影響、改善策などの調査を行います。診断内容はセキュリティ上の脆弱性だけではなく、システムの信頼性に影響を与える可能性のある問題も指摘します。診断用のツールはFortify社のSCAを利用しますが、メーカ提供の診断ルールだけではなく、開発ガイドラインや最新の脆弱性情報に基づいたルールの設定を行い、お客様環境に即した診断を行います。 対象言語: C/C++、JAVA、JSP、C#、VB.NET、ASP.NET、Cold Fusion、SQL、PHP、JavaScript、ASP(2008年7月現在) |
| セキュアDB設計構築 | データベースセキュリティ研究所が作成する「セキュアDBマトリックス」に基づき、お客様のご要望に合わせたデータベースの実装方式の詳細も追加して設計書を作成します。この内容は開発ガイドラインと統合することも可能です。作成したガイドラインに則って、データベースの構築を実施します。 対象データベース:Oracle、Microsoft SQL server、IBM DB2 (詳しいバージョンにつきましてはお問い合わせください。) セキュアDBマトリックスについて セキュアDBマトリックスとは、データベース内の重要な情報資産を守るために必要な対策について、データベース内に限らずシステム全体を対象とし、対策の重要性を対象別に整理した一覧表です。 |
| セキュアサーバ設計構築 | アプリケーションで必要な各サービスの設定と、最新のセキュリティ情報に基づいた脆弱性対策を最適化したサーバの設定やソフトウェアのアップデートを行い、堅牢なサーバを構築します。 |
| Webアプリケーション診断 | Webアプリケーションに対して、不正アクセスという観点から、侵入手法を考察、試行しWebシステムの脆弱性を発見するとともに対策を報告します。 |
運用中Webシステムに対するセキュリティ実装サービス
| 運用中Webシステムに対するセキュリティ実装サービス | |
|---|---|
| ソースコード診断 | アプリケーションのソースコードを解析し、セキュリティ上の問題点を検出し、原因や問題の内容、影響、改善策などの調査を行います。診断内容はセキュリティ上の脆弱性だけではなく、システムの信頼性に影響を与える可能性のある問題も指摘します。診断用のツールはFortify社のSCAを利用しますが、メーカ提供の診断ルールだけではなく、開発ガイドラインや最新の脆弱性情報に基づいたルールの設定を行い、お客様環境に即した診断を行います。 対象言語: C/C++、JAVA、JSP、C#、VB.NET、ASP.NET、Cold Fusion、SQL、PHP、JavaScript、ASP(2008年7月現在) |
| データベース診断 | 問診票による現状調査、ツールならびに手動による診断作業により、診断を行い、脆弱性を発見するとともに、具体的な改善策の提案を行います。 |
| 防御ソフトウェア導入 | 運用中のアプリケーションの実行ファイルに対して、攻撃防御用のソフトウェア埋め込みを行います。さらに攻撃を受けた場合の回避策を検討し設定します。防御用のソフトウェアは Fortify社のDefenderを使用します。Defenderは実行ファイルに対して対策モジュールを追加するため、ソースコードの改修は必要無く、短期間で攻撃への対応が可能となります。攻撃の状態は管理コンソールから確認でき、ログへも保管されます。 対象言語:JAVA、.NET |
| セキュアサーバ設計構築 | アプリケーションで必要な各サービスの設定と、最新のセキュリティ情報に基づいた脆弱性対策を最適化したサーバの設定やソフトウェアのアップデートを行い、堅牢なサーバを構築します。 |
Webシステム開発時のセキュリティ実装サービス
要件定義~構築までの期間および各種のサービス適応範囲により個別見積もり。
参考価格:プロジェクト期間3ヶ月、WebサーバとDBサーバ各1台構成を想定した場合で400万円〜
(システム開発費、システム機器(ハードウエア、ソフトウエア)は含みません)
Webシステム運用時のセキュリティ実装サービス
対策内容により個別見積もり
(Webアプリケーション診断、データベース診断の個別の参考価格につきましては、サービス毎にWebページをご参照ください)
サイトガイド
セキュリティ情報
- セキュリティアラート
- JSOC侵入傾向分析レポート
- サイバーリスク総合研究所 発表レポート
- LAC Advisory
- SNSDB Advisory Report
- LACメルマガ購読
- 無料Webサイトログ診断ツール(SecureSite Checker Free)
- 外部脅威の世界地図
- 特集スペシャル・アーカイブ
教育・資格取得
セキュリティアカデミー
![[QRコード]](/common/img/guide_qr_lac.gif)
リファレンス
