GSX、新サービス「脆弱性診断 設計書レビュー」をリリース
ソフトウェア開発ライフサイクルを汲んだWebセキュリティの確保を
グローバルセキュリティエキスパート株式会社(本社:東京都港区海岸1-15-1、代表取締役社長:青柳 史郎、https://www.gsx.co.jp/、以下、GSX)はこの度、脆弱性診断の新サービスである「脆弱性診断設計書レビュー」をリリースしました。
脆弱性診断設計書レビューは、お客様所有の設計書をベースに、必要に応じてお客様へヒアリングさせていただき、その内容を「セキュリティ要件が適切に考慮されているか」という観点から専門エンジニアが分析し、お客様環境を考慮した最適な報告・助言・提言をします。現在も開発中ということであれば、開発しているシステム全体への影響や手戻りが大きい脆弱性の代表格である「なりすまし」「権限昇格」に絞った設計書レビューを実施するのが望ましいと考えます。
・脆弱性診断設計書レビュー詳細はこちらから
https://www.gsx.co.jp/informationsecurity/designdocumentreview.html
【出典】IPA JPCERT/CC|ソフトウェア等の脆弱性関連情報に関する届出状況[2021年第1四半期(1月~3月)] https://www.ipa.go.jp/files/000090367.pdf
図1-1「脆弱性の届出件数の四半期ごとの推移」では、ウェブサイト(Webアプリ)累計は約3年間で120%増の推移であり、例えば「セッション管理の不備」については91-200日も改修に時間を要する結果となっております。これは上流設計の不備や診断ツールでの脆弱性検出自体が難儀であることを示している一例となります。
右図モデルのように、SDLCの工程が進むほど、脆弱性をゼロに近づけるためのコストは増大していきます。Webアプリケーションリリース直前の脆弱性診断で見つかったものに各種対策をするよりも、SDLCを俯瞰した初期段階からのセキュリティ考慮はWebサイト開発工程では必須とされます。
そのため、セキュリティ要件の収集から、設計・構築・テスト・デプロイの開発工程、運用・保守に至るまでアプリケーション開発・運用(DevOps)に携わるエンジニアは効果的なトレーニングが推奨されます。
殊に、Webアプリケーションのセキュリティ考慮は、後付けではなく SDLC全体俯瞰で行われる必要があります。
・CASE(Certified Application Security Engineer:認定アプリケーションセキュリティエンジニア)
https://www.gsx.co.jp/academy/case.html
GSXでは、SDLCを全体俯瞰したセキュリティご支援をはじめ、脆弱性診断のご支援、コロナ禍影響によるオンライン移行のご支援まで柔軟にご対応させていただきますので、お気軽にご相談くださいませ。
東京本社:〒105-0022 東京都港区海岸1-15-1 スズエベイディアム4F
西日本支社:〒541-0047 大阪市中央区淡路町3-1-9 淡路町ダイビル7F
西日本支社名古屋オフィス:〒451-6040愛知県名古屋市西区牛島町6-1名古屋ルーセントタワー40F
代表者 : 代表取締役社長 青柳 史郎
資本金 : 636,244,690円(資本準備金含む)
設立 : 2000年4月
コーポレートサイトURL:https://www.gsx.co.jp/
GSXは、サイバーセキュリティ教育カンパニーです
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
わたしたちは、情報セキュリティ・サイバーセキュリティに特化した専門会社であり、セキュリティコンサルティング、脆弱性診断、サイバーセキュリティソリューションをはじめ、日本初のセキュリティ全体像を網羅した教育サービスをご提供しています。
DXが加速し、サイバーセキュリティニーズが拡大する市場で各事業の軸に「教育」と「グローバル」を据え、日本の情報セキュリティレベル向上に貢献します。また、GSXのサービスを通して、ユーザー様に対し、サイバーセキュリティの知見・ノウハウをお伝えすることで、日本全国の企業の自衛力向上をご支援します。
■コンサルティング
・マネジメントコンサルティング
お客様が抱える情報セキュリティに関する課題について、現状の可視化から、解決に向けた計画策定・体制構築 に至るまで、一貫した支援をご提供します。
・テクニカルコンサルティング
ハッカーと同様の技術を持つ専門エンジニア(ホワイトハッカー)が、お客様のネットワークシステムに擬似攻撃を行い、脆弱性の有無を診断して、対策措置、結果報告書までをご提供します。
■セキュリティ教育
・企業向けセキュリティ訓練
業界シェアNo.1(富士キメラ総研調べ)である標的型メール訓練サービスや、ITセキュリティeラーニングサービスのMina Secure®によって従業員のセキュリティリテラシー向上をご支援します。
・エンジニア向け教育講座
セキュリティ全体像を網羅した教育サービスをご提供します。EC-Councilセキュリティエンジニア養成講座、日本発のセキュリティ人材資格「セキュリスト(SecuriST)認定脆弱性診断士」などで、セキュリティ人材を育成します。
■ITソリューション
・バイリンガルITプロフェッショナルサービス
バイリンガルのIT人材リソースをご提供します。グローバル拠点への対応はじめ、国内のバイリンガル対応を必要とするお客様へのIT+サイバーセキュリティサービスをご提供します。
■セキュリティソリューション
・サイバーセキュリティ製品導入・運用サービス
最新の脅威や攻撃手法などに対して有効なサイバーセキュリティ製品・サービスを、実装・運用を組み合わせたワンストップソリューションでご提供します。
※本文中に記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です
・脆弱性診断設計書レビュー詳細はこちらから
https://www.gsx.co.jp/informationsecurity/designdocumentreview.html
- Webアプリの脆弱性を突く攻撃は増加の一途を辿るばかり
【出典】IPA JPCERT/CC|ソフトウェア等の脆弱性関連情報に関する届出状況[2021年第1四半期(1月~3月)] https://www.ipa.go.jp/files/000090367.pdf
図1-1「脆弱性の届出件数の四半期ごとの推移」では、ウェブサイト(Webアプリ)累計は約3年間で120%増の推移であり、例えば「セッション管理の不備」については91-200日も改修に時間を要する結果となっております。これは上流設計の不備や診断ツールでの脆弱性検出自体が難儀であることを示している一例となります。
- Webアプリの脆弱性払拭には上流でのセキュリティ設計が肝
- SDLC(ソフトウェア開発ライフサイクル)を汲んだWebセキュリティの確保について
右図モデルのように、SDLCの工程が進むほど、脆弱性をゼロに近づけるためのコストは増大していきます。Webアプリケーションリリース直前の脆弱性診断で見つかったものに各種対策をするよりも、SDLCを俯瞰した初期段階からのセキュリティ考慮はWebサイト開発工程では必須とされます。
そのため、セキュリティ要件の収集から、設計・構築・テスト・デプロイの開発工程、運用・保守に至るまでアプリケーション開発・運用(DevOps)に携わるエンジニアは効果的なトレーニングが推奨されます。
殊に、Webアプリケーションのセキュリティ考慮は、後付けではなく SDLC全体俯瞰で行われる必要があります。
- SDLCを全体俯瞰する、EC-Council公式トレーニングCASE(認定アプリケーションセキュリティエンジニア)について
・CASE(Certified Application Security Engineer:認定アプリケーションセキュリティエンジニア)
https://www.gsx.co.jp/academy/case.html
GSXでは、SDLCを全体俯瞰したセキュリティご支援をはじめ、脆弱性診断のご支援、コロナ禍影響によるオンライン移行のご支援まで柔軟にご対応させていただきますので、お気軽にご相談くださいませ。
- グローバルセキュリティエキスパート株式会社について
東京本社:〒105-0022 東京都港区海岸1-15-1 スズエベイディアム4F
西日本支社:〒541-0047 大阪市中央区淡路町3-1-9 淡路町ダイビル7F
西日本支社名古屋オフィス:〒451-6040愛知県名古屋市西区牛島町6-1名古屋ルーセントタワー40F
代表者 : 代表取締役社長 青柳 史郎
資本金 : 636,244,690円(資本準備金含む)
設立 : 2000年4月
コーポレートサイトURL:https://www.gsx.co.jp/
GSXは、サイバーセキュリティ教育カンパニーです
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
わたしたちは、情報セキュリティ・サイバーセキュリティに特化した専門会社であり、セキュリティコンサルティング、脆弱性診断、サイバーセキュリティソリューションをはじめ、日本初のセキュリティ全体像を網羅した教育サービスをご提供しています。
DXが加速し、サイバーセキュリティニーズが拡大する市場で各事業の軸に「教育」と「グローバル」を据え、日本の情報セキュリティレベル向上に貢献します。また、GSXのサービスを通して、ユーザー様に対し、サイバーセキュリティの知見・ノウハウをお伝えすることで、日本全国の企業の自衛力向上をご支援します。
■コンサルティング
・マネジメントコンサルティング
お客様が抱える情報セキュリティに関する課題について、現状の可視化から、解決に向けた計画策定・体制構築 に至るまで、一貫した支援をご提供します。
・テクニカルコンサルティング
ハッカーと同様の技術を持つ専門エンジニア(ホワイトハッカー)が、お客様のネットワークシステムに擬似攻撃を行い、脆弱性の有無を診断して、対策措置、結果報告書までをご提供します。
■セキュリティ教育
・企業向けセキュリティ訓練
業界シェアNo.1(富士キメラ総研調べ)である標的型メール訓練サービスや、ITセキュリティeラーニングサービスのMina Secure®によって従業員のセキュリティリテラシー向上をご支援します。
・エンジニア向け教育講座
セキュリティ全体像を網羅した教育サービスをご提供します。EC-Councilセキュリティエンジニア養成講座、日本発のセキュリティ人材資格「セキュリスト(SecuriST)認定脆弱性診断士」などで、セキュリティ人材を育成します。
■ITソリューション
・バイリンガルITプロフェッショナルサービス
バイリンガルのIT人材リソースをご提供します。グローバル拠点への対応はじめ、国内のバイリンガル対応を必要とするお客様へのIT+サイバーセキュリティサービスをご提供します。
■セキュリティソリューション
・サイバーセキュリティ製品導入・運用サービス
最新の脅威や攻撃手法などに対して有効なサイバーセキュリティ製品・サービスを、実装・運用を組み合わせたワンストップソリューションでご提供します。
※本文中に記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
