セキュリティサービスの3つの特徴
1. 手間を省きお客様の負担を軽減
プロジェクト組み込み型でセキュリティ診断を行うことで、診断のみで外注する際に発生する仕様理解や業務調整などの負担を軽減します。
2. 診断報告から修正対応がスピーディ
発見したセキュリティリスクは優先度も含めて開発に素早く共有されるプロジェクト組み込み型サービスの特徴を活かし、スムーズな修正対応が可能になります。
3. オープンな情報で安心できる診断報告
すべての診断項目をオープンにするので、診断内容の透明性を高め、より詳細な報告を可能にします。また、明快な料金体系により費用感を把握した上で依頼することが可能です。
2種類のサービスをご用意
診断サービス
-
ウェブアプリケーション診断
貴社のシステムに対して
ブラックボックステストを行い
セキュリティリスクを発見・報告します。 -
API 診断
スマホアプリ用の API に対して
ブラックボックステストを行い
セキュリティリスクを発見・報告します。
安全性の評価と対策を備えた報告書で
診断後の対応を明確に
レーダーチャートによる安全性評価と発見したリスクの4段階の危険度評価及び対策を記した報告書によって実施結果からお客様が取るべき対応を明確にします。
ダウンロード
様々な外部文書をもとに構成した診断項目
OWASP が公開する資料などを元に診断項目を構成しているため客観性が高く、診断内容が分かりやすいサービスです。
[診断項目の例]
悪性入力 | SQL インジェクション |
---|---|
OS コマンドインジェクション | |
クロスサイトスクリプティング | |
アクセス制御 | 機能に対するアクセス制御が不完全である |
データに対するアクセス制御が不完全である | |
クロスサイトリクエストフォージェリ | |
セッション管理 | セッションフィクセイション |
Cookie の属性設定が強度不足である | |
エラー処理とログ保存 | エラーメッセージから情報取得が可能である |
認証 | パスワードポリシーが強度不足である |
データ保護 | キャッシュコントロールが適切でない |
通信セキュリティ | 証明書の有効性に問題がある |
HTTP セキュリティ | 想定外の HTTP メソッドが実行可能である |
システムのバージョン情報が取得できる | |
ファイルとリソース | リダイレクタ |
パス・トラバーサル |
もっと見る
サービスの流れ
上流工程からセキュリティを意識したプロセスを踏むことにより貴社と共同でセキュリティに取り組むことができます。
要件定義
設計・デザイン
開発
テスト
-
ヒアリング
上流工程からセキュリティテストで実施する項目を提示して
調整を行いますので、貴社が内容を把握しながら基準を設定
することができます。 -
事前調整
診断環境の、準備や仕様に関するお問い合わせは極力社内で
完結するため、貴社が管理する情報量の増加を防ぐことが
できます。 -
組み込み型診断
発見したリスクは、その日のうちにコミュニケーションツールを通して共有されます。
修正後の再確認も診断と並行して実施するため、品質は継続的に改善されていきます。 -
報告書提出
報告書には診断時に報告した、セキュリティリスクと
その対応状況を詳述しますので、現在のシステムが
どのような状態かを把握できます。 -
アフターフォロー
報告書提出後の一定期間、お問い合わせによるサポートをいたします。
ご不明な点などあれば、お気軽にご質問ください。
-
要件定義
1ヒアリング
上流工程からセキュリティテストで実施する項目を提示して
調整を行いますので、貴社が内容を把握しながら基準を設定
することができます。 -
設計・デザイン
開発
2事前調整
診断環境の、準備や仕様に関するお問い合わせは極力社内で
完結するため、貴社が管理する情報量の増加を防ぐことが
できます。 -
テスト
3組み込み型診断
発見したリスクは、その日のうちにコミュニケーションツールを通して共有されます。
修正後の再確認も診断と並行して実施するため、品質は継続的に改善されていきます。4報告書提出
報告書には診断時に報告した、セキュリティリスクと
その対応状況を詳述しますので、現在のシステムが
どのような状態かを把握できます。5アフターフォロー
報告書提出後の一定期間、お問い合わせによるサポートをいたします。
ご不明な点などあれば、お気軽にご質問ください。
こんなお悩み解決します
見積もりを開発と一括で
取り、必要な情報を
揃える手間を省きたいリリース直前の修正で
スケジュール変更
したくないどんな観点で
診断したのか
わからない
コンサルティングサービス
-
セキュア開発要件支援
診断サービスのノウハウをもとに
貴社のセキュア開発要件策定を支援します。 -
セキュリティ検証内製化支援
実施手順を共有し
セキュリティ検証体制の構築を支援します。
最新のセキュリティ動向を踏まえた
「セキュア開発要件支援」
技術の進化に伴い、重視すべきセキュリティリスクも日々変化していきます。
開発要件は、公開資料をもとに定期的な見直しを進め、時代に沿った基準に改定していきます。
[確認項目]
カテゴリ | 確認項目 |
---|---|
認証 | ユーザーが入力したパスワードがそのまま表示されない |
すべての認証がサーバー側で行われる | |
セッション管理 | ユーザーがログアウトするとサーバー側でもセッションが無効になる |
一定期間非アクティブ状態が続くとセッションがタイムアウトする |
もっと見る
成果物のサンプルをダウンロード
診断手順の共有で内製化をサポートする
「セキュリティ検証内製化支援」
フェンリルでセキュリティ診断に用いている手順書を貴社に共有します。
手順書を活用してのハンズオントレーニングも行いますので、お気軽にご相談ください。
ダウンロード
サービスの流れ
-
要件ヒアリング
貴社の要件をヒアリングし、フェンリルのBTS上もしくは
貴社システム上でWBSを作成後、マイルストーンとWBSを
記載したお見積もりを作成します。
これによりスケジュールが一目で分かります。 -
コンサルティング
お見積もりで提示した作業を実施いたします。定期的な
進捗報告を行い、プロジェクトリスクを回避いたします。 -
報告書提出
各マイルストーン完了時に進捗報告書を作成・提出します。
報告書の方式はあらゆるフォーマットに対応いたしますので
お気軽にご連絡ください。
-
1要件ヒアリング
貴社の要件をヒアリングし、フェンリルのBTS上もしくは
貴社システム上でWBSを作成後、マイルストーンとWBSを
記載したお見積もりを作成します。
これによりスケジュールが一目で分かります。2コンサルティング
お見積もりで提示した作業を実施いたします。定期的な
進捗報告を行い、プロジェクトリスクを回避いたします。3報告書提出
各マイルストーン完了時に進捗報告書を作成・提出します。
報告書の方式はあらゆるフォーマットに対応いたしますので
お気軽にご連絡ください。
こんなお悩み解決します
プロジェクトの
セキュリティ品質を底上げ
するアイディアが欲しい自社で
セキュリティを
担保したいセキュリティを
相談する
サポートデスクがほしい