株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティコンサルティング

システムセキュリティデザイン

Inspection & Consulting

セキュリティ対策をシステム設計や開発段階、工程に応じたセキュリティ施策を提案する

システム構築における要件定義/設計/開発/テスト/運用の各工程で必要となるセキュリティ施策(セキュリティ要件策定・評価、セキュリティガイドラインの策定・ソースコード診断・Webアプリケーション診断、プラットフォーム診断、脅威情報の配信)の実施および評価をするサービスです。

サービスの強み

セキュアなシステム開発と運用の課題解決に向けて、個々の企業にベストなセキュリティ施策を策定

脆弱なシステムは、設計と実装に原因の大半があります。システムの完成後に脆弱性を修正しようとするとシステムに多大な影響を及ぼすだけでなく、想定外の開発コストや開発期間がかかるリスクも発生します。このような無駄な負担を避けるためには、上流工程からセキュリティについて考慮する「セキュリティ・バイ・デザイン」の方針に基づくことが最善の策です。さまざまな組織への幅広い対応力と豊富な開発実績を持つラックが、課題解決に向けてお手伝いします。

システム開発工程とセキュリティ施策実現工程

システム開発の各工程で、ラックのコンサルタントがきめ細かくサポート

  1. 開発現場を熟知したコンサルタントがサポート
    ラックは、セキュリティ対策だけでなくシステム開発ベンダとして金融機関をはじめとするさまざまな業種や組織への幅広い対応力と、豊富な開発実績があります。開発現場を熟知したコンサルタントが各企業の事情を踏まえながら、セキュリティ評価やガイドラインの作成など実効性のある支援を行います。
  2. 開発の各工程単位で利用可能
    当サービスの大きな特徴は、システム開発における工程単位で利用できる点です。例えば「要件定義の工程のみ」「設計工程のみ」など、企業によってサポートを必要としている工程だけでも対応可能です。もちろん、上流工程から下流工程までの一貫した支援もお任せいただけます。
  3. 企業にとってベストな「セキュリティ・バイ・デザイン」を実現
    セキュリティを強化しても、個々の企業や組織にとって適したものでなければ、形骸化してしまう可能性があります。ラックのコンサルティングサービスでは、業務内容、システム構成、各種制約などの個別事情を考慮し、システム設計から実装、運用の全行程においてベストな情報セキュリティの実現を支援します。

サービス内容

セキュリティ要件一覧の作成支援と評価の実施

要件定義の工程では、お客様が構築しようとする機能・処理に必要なセキュリティ要件について、ラックが"問診"する形で課題を洗い出し、「セキュリティ要件一覧」を作成します。
"問診"で洗い出す項目は以下を想定しており、これをもとに必要な施策を要件として取りまとめます。

  • システムに実装する機能や処理で取り扱う情報
  • 利用者
  • 情報へのアクセス経路
問診(脅威分析)イメージ、セキュリティ要件一覧イメージ

セキュリティガイドラインの作成支援

設計工程では、お客様のセキュリティ要件をもとに、Webアプリケーションとネットワーク・サーバ構築についてのセキュリティガイドラインをそれぞれ作成します。

セキュリティガイドラインの作成支援

お客様に最適なガイドラインの作成支援

一般的なガイドラインをベースに、お客様の要望に加え、ラックの知見を取り入れたガイドラインを作成します。作成したガイドラインは、最新の脅威情報を踏まえて随時、改訂していきます。

セキュリティ評価

「セキュリティ要件一覧」と「セキュリティガイドライン」を使い、お客様が作成された設計書が、求められるセキュリティ対策を満たしているかを第三者の立場で評価します。

ソースコード診断による問題の可視化

開発工程では、ソースコードを解析して脆弱性にかかわる問題を見つけ、可視化します。明らかになった問題の概要と原因、推奨する対策はレポートにまとめて提供します。
対応言語: JAVA, JSP, C#, VB.NET, ASP.NET,PHP, JavaScript, ASP

ラックが提供するソースコード診断のポイントは次の通りです。

専門家による徹底した目視チェック

  • ソースコードを診断ツールで解析した後はさらに、専門家が目視でチェックします。この徹底した確認作業により、開発環境が理由で診断ツールでも検出できなかったセキュリティ脆弱性を可能な限り発見します。

診断ツールによる高品質なソフトウェア構築支援

  • 膨大な行数のソースコードを詳細にレビューしようにも、人手では限界があります。これを、診断ツールによって自動で検査することで一貫した検査品質を図り、より品質の高いソフトウェアの構築を支援します。
  • オフショア開発、外部委託などで生じやすいエンジニアごとのセキュアプログラミングのギャップも、本サービスの利用により素早く発見、均一化することができます。

Webアプリケーション診断/プラットフォーム診断

テスト工程では、Webアプリケーション診断とプラットフォーム診断を実施します。それぞれのサービス内容について、詳しくは次のリンク先をご覧ください。

お客様のシステムに関する脅威情報を随時配信

運用工程では、お客様のサーバ構成(OS、ミドルウェア、コンポーネント、ライブラリ)をラックが管理することで、お客様の運営システムに関する脆弱性情報や脅威情報をいち早くお知らせできるようになります。これにより、脆弱性や脅威に関する情報を収集するわずらわしさから解放されます。

価格

ご支援の内容などにより、個別にお見積もりいたします。お気軽にお問い合わせください。

「システムセキュリティデザイン」に関するお問い合わせ