セキュリティ・トップ  ›  選べる診断コース › セキュアWebアプリケーション開発支援コース › Webアプリケーションセキュア開発支援

Webアプリケーションセキュア開発支援

診断の概要

 「Webアプリケーションセキュア開発支援」は、開発作業の設計段階からリリース前診断までの一貫したセキュリティ対策を行うことで、セキュリティ要件を満足しながら開発コストを抑えたWebアプリケーション開発を実現することを目的とした診断サービスです。

 「Webアプリケーションセキュア開発支援」は、[プログラム設計書レビュー]、[セキュアプログラミングポリシー策定]、[リリース前診断]の3つの構成要素により構成されています。

主な利用場面

Webシステムの開発から運用までの過程における安全性の診断タイミング
Webシステム開発 Webシステム運用
安全な
システム開発支援
リリース前
診断
システムの
動作状況確認
システムの
管理状況確認
システムの
脆弱性確認
● ●

特 長

 「Webアプリケーションセキュア開発支援」は、仕様におけるセキュリティ対策の見直しや、開発初期から脆弱性検査を実施することで、開発の全行程終了後に初めて検査を行う場合より、検出される脆弱性を少なくすることができるため、それに伴う修正も少なくなることから、最終的な開発コストについても大幅に削減することができます。開発作業全体ののコストを抑えつつ、脆弱性を無くした状態でリリースを行いたいお客様に最適な診断サービスです。

Webセキュリティ診断のプロによる仕様内容の漏れをチェック
詳細設計書等の仕様に関するドキュメントに対して、開発するWebアプリケーションに必要となるセキュリティ要素(脆弱性対策、暗号化強度、セッション管理手法など)が適切に含まれているかを、セキュリティ診断のプロフェッショナルの視点から徹底的にレビューを行うことで、専門的な知識を必要とするWebセキュリティに関する内容を漏れなく仕様に含めることができます。
セキュリティ品質を確保するためのガイド・チェックリストを策定
プログラム詳細設計書等の仕様ドキュメントにおいて、お客様が開発環境で利用する言語(Java、ASP.NET、PHP、Ruby等)、ミドルウェア、フレームワーク等に合わせて、セキュアに開発を行うために必要な項目について確認を行った上で、各脆弱性(SQLインジェクション、クロスサイトスクリプティング、セッション管理等)に対するプログラム時のガイドライン、及び開発後に行うチェックリストを策定します。
リリース前のWebアプリケーションに対する徹底的な診断
リリース前におけるWebアプリケーション診断については、一般的なWebアプリケーションの脆弱性から、セッション管理の脆弱性を含む、ソフテックがWebアプリケーション診断関連で実施可能な全ての診断項目について実施いたします。
十分な仕様検討やプログラム実装支援により修正コストを圧縮
開発フェーズの初期段階において徹底的な仕様内容のレビューを行い、Webセキュリティに関する仕様の漏れを未然に防ぐことや、実装前のプログラムガイドラインの策定、実装後におけるチェックリストによる確認を十分に行うことで、リリース前のWebアプリケーション診断で検出される脆弱性の数が抑えられることから、結果として脆弱性の修正コストを圧縮することが可能です。

診断内容

実施項目
診断・分析 報告 確認 再診断
Webアプリ
診断
プラット
フォーム
診断
サーバ構成
診断
診断
レポート
ガイド
ライン
再診断 再診断
期間
延長
check check check check check

作業・診断内容の詳細

 「Webアプリケーションセキュア開発支援」の作業・診断内容は以下の通りです。
「Webアプリケーションセキュア開発支援」は、[プログラム設計書レビュー]、[セキュアプログラミングポリシー策定]、[リリース前診断]の3つの構成要素により構成されています。

[プログラム設計書レビュー]

項  目 内 容
作業内容

仕様ドキュメントに、Webアプリケーションに必要となるセキュリティ要素が適切に含まれているかのレビューを実施します。仕様ドキュメントについては、秘密保持契約書締結後、弊社に持ち帰り、その情報を元にレビュー作業を行います。

作業環境 ソフテック社内作業エリア
報告書 形式
内容
プログラム詳細設計書等の仕様ドキュメントに対するレビュー結果をまとめた報告書を提出致します。
提出
期限
仕様ドキュメント入手後の翌営業日から 10 営業日以内
提出
方法
PDFファイルを電子メールでお送りします。ご希望により、紙媒体での提出も致します。

[セキュアプログラミングポリシー策定]

項  目 内 容
作業内容

プログラム詳細設計書等の仕様ドキュメントを元に、セキュアなプログラム実装を行うための「プログラムガイドライン」と「チェックリスト」を策定します。仕様ドキュメントについては、秘密保持契約書締結後、弊社に持ち帰り、その情報を元に策定作業を行います。

作業環境 ソフテック社内作業エリア
ガイド
ライン

チェック
リスト
形式
内容
プログラム詳細設計書等の仕様ドキュメントを元に作成した「セキュアプログラミングガイドライン」と「チェックリスト」を提出致します。
提出
期限
仕様ドキュメント入手後の翌営業日から 10 営業日以内
提出
方法
PDFファイルを電子メールでお送りします。ご希望により、紙媒体での提出も致します。

[リリース前診断]

項  目 内 容
診断対象 ・Webアプリケーション
診断項目

[Webアプリケーション]
 44 項目
 診断項目の詳細は、以下をご覧ください。
 Webアプリケーション診断項目(すべて)

診断手法 ツール診断+手動診断
診断環境 リモート診断 or オンサイト診断
診断時間 平日 10:00~18:00
速報 形式/内容 Aタイプ
危険度 Medium 以上の脆弱性について詳細な説明・解説を行う速報を提出致します。
提出期限 診断終了翌営業日から 3 営業日以内
提出方法 PDFファイルを電子メールでお送りします。
報告書 形式/内容 Bタイプ
検出された全ての脆弱性について詳細な説明・解説や総合評価を行い、経営層から開発者まで誰でも分かり易い報告書を提出致します。
提出期限 診断終了翌営業日から 10 営業日以内
提出方法 PDFファイルを電子メールでお送りします。ご希望により、紙媒体での提出も致します。
再診断 再診断を報告書提出または報告会実施後 1 ヶ月以内に実施します。詳細は、「無料Webアプリケーション再診断」をご覧ください。

価格

 「Webアプリケーションセキュア開発支援」の料金は以下の通りです。

項目 内 容 金額(円・税抜)
基本診断料金

[プログラム設計書レビュー]
 詳細設計書50ページまでを含みます。

[セキュアプログラミングポリシー策定]
 仕様ドキュメントを元に
  「セキュアプログラムガイドライン」
 および「チェックリスト」を提出致します。

[Webアプリケーション診断]
 リモートでの診断です。
 動的ページ20ページまでを含みます。

1,680,000円
追加診断料金 [プログラム設計書レビュー]
 50ページ当たりの追加料金です。
500,000円
[Webアプリケーション診断]
 1ページ当たりの追加料金です。
 21ページ以上の診断に必要となります。
追加30ページまで 25,000円
追加31ページ以上 20,000円

オプションについては、「診断サービス・コース共通オプション 価格」をご参照ください。

おすすめコンテンツ ソフテック診断サービスの特長 ソフトウェア開発力 選べる診断サービス ドキュメント・報告書 初めてのセキュリティ診断 診断に対するご質問と回答 FAQ フテックの診断アフターケア ご相談・資料請求
セキュリティホール情報とリスク管理ユーティリティ SIDfm SID警告センター