高まるセキュリティ意識と標準化されたセキュリティテスト

高まるセキュリティ意識と標準化されたセキュリティテスト

高まるセキュリティへの関心

あらゆるプロダクト、あらゆるサービスにおいて、デザインやUI、ハイクオリティなコンテンツ、ブラウズしやすいUX、これらはすべて重要な要素です。

しかしセキュリティに対する関心がますます高まっている昨今において、利用者の安全を担保することはそれ以上に重要とも言えます。
万が一個人情報などの機密データが流出してしまうようなことがあれば、プロダクトやサービスにおけるすべてのプレゼンテーションが無駄となるばかりか、企業にとって致命的な事柄とすらなり得るからです。

よくあるセキュリティのリスク

よくあるセキュリティリスクとして、トラフィックのハッキングや、クリック時に他のサイトへ転送されるリダイレクト型マルウェア、個人情報の盗用などが挙げられます。

データがあらゆる企業活動にとって必須である時代において、多くの場合データの保守が企業における最優先タスクとなるでしょう。
ゆえにソフトウェアが安全にデータを保守し、必要な情報を維持しつつ、あり得る危険や攻撃を特定するために、企業はセキュリティ診断を適宜行うことが推奨されています。

従来のセキュリティテストにおける課題

しかし、これまでにセキュリティに対する課題を抱えるクライアント様からいくつものご相談を頂くなかで、従来のセキュリティレポートは業界水準やベストプラクティスを満たしていないと思われるケースが多く存在することがわかりました。

また定期的にセキュリティテストを依頼している既存のベンダーに対して突発的な必要性から相談をしても、既に予約が埋まっていて柔軟な対応をしてもらえないというパターンも良く見られるものの1つです。

多くのベンダーにおいてセキュリティテストは高度に属人化されており、特定の担当者のアサイン状況によって突発的な対応ができないということが生じやすいことがその大きな原因となっています。

SHIFTグループのセキュリティテストサービス

こういった状況を受け、SHIFTグループではすでに提供していたワンストップ品質保証ソリューションの一部として、セキュリティテストのサービスを提供し始めました。
テストの対象やクライアント様のニーズに応じて、OWASPやASVS、MASVS、CISベンチマークといった国際標準や業界基準、コンプライアンスを満たしているかを診断します。

また以下はSHIFT ASIAのセキュリティテストの概要です。

SHIFT ASIAにおけるセキュリティテストの6つの原則:
機密性・整合性・可用性・認証・承認・否認防止

セキュリティテストの例:
• ネットワークセキュリティ
• システムソフトウェアセキュリティ
• クライアントサイド アプリケーションセキュリティ
• サーバーサイド アプリケーションセキュリティ

セキュリティテストタイプ:
- 脆弱性診断
セキュリティテストツールを使用し、脆弱性パターンの照合と診断を実施

- セキュリティスキャン
ネットワークやシステムの弱点を特定し、改善や防御策をコンサルティング

- ペネトレーションテスト
セキュリティテストエンジニアによる手動診断によりサイバーリスクを再現し、システムの脆弱性診断とコンサルティングを実施

- リスク診断
組織上のリスクを特定しクラス分けを行い、リスクを最小限にするインソーシングを支援

- セキュリティ監査
コードチェックを含むアプリケーションやオペレーションシステムの内部監査

- 倫理的ハッキング
悪意あるハッキングとは異なり、ホワイトハッカーによって組織上の課題などを露呈させる

- 姿勢評価
セキュリティスキャンや倫理的ハッキング、リスク評価を組み合わせ、組織の全体的なセキュリティ体制を評価

プロセスの標準化によって実現された「高品質・低価格・短納期」を特長とするセキュリティ診断は、その高いフレキシビリティ、診断とセットになったコンサルティング、汎用性のあるレポートフォーマットで高い評価を頂いています。
金融・銀行といったセキュリティ要求が高い業界だけでなく、様々な業界におけるWEB/モバイルアプリケーションをも対象に、多くのお客様にご利用をいただいています。

自社のサイトやサービスの脆弱性やセキュリティにお悩みでしたら、ぜひお気軽にSHIFT ASIAに相談ください。

関連ページ

記事一覧へ