技術推進事業部ビジネス基盤第3グループ
電話:03-3458-8680
E-mail: security-biz@in.dcs.co.jp
近年、サイバーテロを筆頭に、アプリケーションへの攻撃は、自動化、巧妙化への進化を加速しています。
一方、アプリケーションの開発予算の減少とともに開発期間は短縮しており、また、ユーザからの過剰な要求や新技術の登場により機能要件が高度化、複雑化しています。そのため、開発の現場はデスマーチという単語に代表されるような過酷な状況にあり、「納期の厳守」と「セキュリティ品質の確保」という2つの課題を両立するのが極めて困難です。
当社が提供するソースコード診断サービスは,高性能セキュリティ検査ツール「FORTIFY 360 SCA」を使用して、ソースコードに潜在する脆弱性を検査し、検出された問題点とその原因箇所、推奨対策方法についてご報告するサービスです。大規模なソースも、全体を網羅して流れを追跡し、高い精度で検査することが可能です。また、ソースコード受領後、約1週間程度(クイックタイプ)で早期の結果レポート提出が可能です。そのため、納品まで時間のないお客様でも、短期に低価格でソースに内在する脆弱性とその原因個所を把握することができ、セキュリティ品質の効率良い確保に貢献します。
アプリケーションの出荷前や定期的な診断のほか、開発段階でソースコード診断サービスをご利用いただくことで、修正期間を含めた開発期間・工数の低減ならびに品質維持が可能になります。
| タイプ | 内容 |
|---|---|
| クイック |
|
| アドバンスド |
|
| クイック | ソースコードの送付〜スキャンレポート送付 | 約1週間 |
|---|---|---|
| アドバンスド | ソースコードの送付〜報告書の提出と報告会 | 約1ヶ月半 |
| サービス内容 | クイック | アドバンスド |
|---|---|---|
| スキャン | ○ | ○ |
| スキャンレポート | ○ | ○ |
| 検査結果の該当性分析、総合評価 | − | ○ |
| 診断報告書 | − | ○ |
| 報告会 | − | ○ |
| 診断結果サポート (Eメールによる問合せ) |
− | ○ |
スキャン
セキュリティ検査ツール 「FORTIFY 360 SCA」 を使用して、ソースコードに潜む脆弱性を検査します。
スキャンレポート
FORTIFY 360 SCAの出力したスキャンレポートをご提出いたします。
検査結果の妥当性分析、総合評価 ※アドバンスドのみ
セキュアアプリケーション開発の経験豊富な専門家が検査結果の妥当性を分析し、総括いたします。
診断報告書 ※アドバンスドのみ
専門家の総括を記載した、弊社独自のフォーマットによる報告書をご提出します。
報告会 ※アドバンスドのみ
お客様をご訪問し、報告書の内容についてご説明いたします。
診断後結果サポート(Eメールによる問い合わせ) ※アドバンスドのみ
報告した脆弱性に関するサポートを行います。
サポート期間は、報告会から最大2週間です。
| クイック、アドバンスド |
*1 Java:Tomcat(Jasperコンパイラ)で認識できないJSPがある場合、一部の検査項目がスキップされる可能性がありますが、プログラム全体のスキャンは可能です。 |
|---|
| クイック、アドバンスド |
|
|---|
■スキャンレポート
- (脆弱性レベル別サマリーページ)
- (脆弱性のカテゴリ別サマリーページ)
- (脆弱性詳細情報ページ)
- (脆弱性が検出されたプログラム情報ページ)
■診断報告書
- (脆弱性診断結果サマリ)
- (各脆弱性の目視確認結果と推奨対策案(1))
- (各脆弱性の目視確認結果と推奨対策案(2))
- (総評)
- 三菱総研DCS株式会社 技術推進事業部ビジネス基盤第3グループ
- 電話:03-3458-8680 E-mail: security-biz@in.dcs.co.jp
Copyright© 2007- Mitsubishi Research Institute DCS Co.,Ltd. All rights reserved.
