開発ガイドライン策定

ガイドラインでWebアプリケーションの脆弱性対策。

開発ガイドライン策定

弊社代表徳丸浩が執筆した「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 」は、“徳丸本”という愛称で現場のエンジニアの方々に親しまれています。弊社の提供する開発ガイドラインは、“徳丸本”500ページの内容を40ページに圧縮して提供致します。

EGセキュアソリューションズの開発ガイドラインはセミカスタムでの提供となります。基本雛形(PHP言語を基本とする)に対して、貴社の使用言語やフレームワーク、データベース等の状況を加味して、きめ細かく対応致します。

また、ガイドラインに対応したチェックリストにより、開発者によるセルフチェックが可能です。

特徴

「逆引き辞書」としての利用が可能
- アプリケーションの機能別に作成するので、開発者が参照しすい形態です
- 例:表示処理の留意点、SQL呼び出しの留意点…
「安全なWebアプリケーションの作り方」との整合性
- 拙著「安全なWebアプリケーションの作り方」に準拠したガイドライン、チェックシートを作成いたします
- 「安全な…」を参照することにより、ガイドラインとチェックシートを薄く、読みやすく作成できます
ガイドラインと対になるチェックシートの提供
- ガイドラインの準拠度を測るチェックシートにより、納品物の品質チェックに利用できます
- 注)自己申告なので脆弱性診断の代用になるものではありません

サービス内容

gl01

・貴社ニーズに即したセキュリティガイドラインの策定

– ヒアリングにもとづく、現状に即したガイドライン。
– 使いやすく「逆引き」方式のガイドライン。
– SQLインジェクション、クロスサイト・スクリプティングのみならず、近年のセキュリティ動向に即した各種の脆弱性への対策が可能。

gl02

・上記ガイドラインの遵守を確実にするためのチェックシートの策定

– 貴社向けにカスタマイズされ、セキュリティガイドラインに対応したチェックシートの作成。
– ソースコード検査、動作確認を組み合わせた効率的な検査方法。
– 開発委託先におけるチェック、貴社における受け入れ検査へ適用可能。

gl03

・同チェックシートの運用トレーニング(オプション)

– 作成したチェックシートを運用するためのチェック体制が必要。
– 定着させるためのトレーニングをオンサイトで実施。

セキュリティガイドライン導入効果

gl04

・セキュリティ対策担当範囲が明確になり、あいまいさがなくなる。

gl05

・各工程で脆弱性が入り込まないように、対策を実施することで、セキュリティレベルの向上が期待できる。

gl06

・セキュリティチェックシートを用いることで、ガイドラインにもとづいたテストが出来、対策漏れ・テスト漏れをチェックできる。

・担当者ごとのセキュリティ対策のばらつきが無くなり、セキュリティレベルの底上げが期待できる。

gl07

導入ステップ

・キックオフミーティングにて現状ヒアリング
– OS, Webサーバー、DB
– 開発言語(Java、PHPなど)
– フレームワーク、標準ライブラリ
– 開発工程、検査工程
・概略方針策定、中間報告
・貴社向けにカスタマイズされたガイドライン、チェックシートの作成
・納品・報告会

ガイドラインのスコープ(案)

・Webアプリケーションの脆弱性対処のガイドライン
– クロスサイト・スクリプティング
– SQLインジェクション、
– クロスサイト・リクエストフォージェリ…(詳細は次ページ参照)
・Webアプリケーションのセキュリティ機能のガイドライン
– 認証
– 認可
– ユーザ管理
– ログ管理…
・サーバーに関するガイドライン
– パッチ適用
– 認証強化など

ガイドラインがカバーする脆弱性一覧

4.2 入力処理とセキュリティ
4.3 表示処理に伴う問題
4.3.1 クロスサイト・スクリプティング(基本編)
4.3.3 エラーメッセージからの情報漏洩
4.4 SQL呼び出しに伴う脆弱性
4.4.1 SQLインジェクション
4.5 「重要な処理」の際に混入する脆弱性
4.5.1 クロスサイト・リクエストフォージェリ( CSRF)
4.6 セッション管理の不備
4.6.1 セッションハイジャックの原因と影響
4.6.2 推測可能なセッション ID
4.6.3 URL埋め込みのセッション ID
4.6.4 セッション IDの固定化
4.7 リダイレクト処理にまつわる脆弱性
4.7.1 オープンリダイレクタ脆弱性
4.7.2 HTTPヘッダ・インジェクション
4.8 クッキー出力にまつわる脆弱性
4.8.1 クッキーの不適切な利用
4.8.2 クッキーのセキュア属性不備
4.9 メール送信の問題
4.9.1 メール送信の問題の概要
4.9.2 メールヘッダ・インジェクション脆弱性
4.10 ファイルアクセスにまつわる問題
4.10.1 ディレクトリ・トラバーサル脆弱性
4.10.2 意図しないファイル公開
4.11 OSコマンド呼び出しの際に発生する脆弱性
4.11.1 OSコマンド・インジェクション
4.12 ファイルアップロードにまつわる問題
4.12.1 ファイルアップロードの問題の概要
4.12.2 アップロードファイルによるサーバー側スクリプト実行
4.12.3 ファイルダウンロードによるクロスサイト・スクリプティング
4.13 インクルードにまつわる問題
4.13.1 ファイルインクルード攻撃
4.14 evalにまつわる問題
4.14.1 evalインジェクション
4.15 共有資源に関する問題
4.15.1 競合状態の脆弱性

※数字は「安全な~」の節番号

ガイドライン・チェックシートイメージ

gl08

スケジュールイメージ

chart

※上記は4月中旬開始とした想定です。
期間 : 2ヶ月間
コンサルタント : 2名
訪問回数 : 4回を想定しております。

費用

150万円