ソリューション・製品

情報システム品質分析

情報システム品質分析とは、 米国FORTIFY社セキュリティ診断ツールを導入した、 ホワイトボックス型ソースコードレビューのノウハウと共に 株式会社ブロードバンドセキュリティ(BBsec)社とのアライアンスで提供するセキュリティ診断サービスです。


S.Q.A.T.とは?

S.Q.A.T.(Software Quality Analysis Team)は、従来の外部診断に加え、カスタムアプリケーションのソースコード診断を行うことにより、根本的部位の把握、根本療法をレポートいたします。


S.Q.A.T.とは?

サービス構成

S.Q.A.T. サービスは以下のサービスによって構成されています。


S.Q.A.T.GlassBoxサービスS.Q.A.T. CoreサービスとA&Pサービスを連動させることによってソースコード内部と外部の診断を実施し、両者の長所を最大限に引き出したレポートを提供するサービスです。
S.Q.A.T.Coreサービス カスタム・アプリケーションのソースコードをスキャンし、ソースコードに含まれる脆弱部位の検知や、品質評価をレポートするサービスです。
A&PサービスInternetに公開されている「Webサービス」「Webアプリケーションサービス」「ネットワーク」に関する脆弱性を診断し、レポートするサービスです。
VC(Vulnerability Care) 報告した脆弱性に関する再診断を行うオプションサービスです。

PCIデータセキュリティスタンダード

PCIデータセキュリティスタンダード(以下、PCIDSS)は、2006年9月に国際ペイメントカードブランド5社(Visa, Master, AmericanExpress, Discover, JCB)が共同で策定したグローバルセキュリティ基準で、上記5社と提携している全てのメンバー機関、加盟店、サービスプロバイダに適用されています。バージョン1.1の日本語版に以下の12要件が定められています。

  1. ファイアーウォール導入と最適設定
  2. ベンダ提供のデフォルトパスワード、パラメータ設定などの変更
  3. 会員データ保護
  4. 送信データの暗号化
  5. ウイルス対策
  6. 安全性の高いシステムとアプリケーション開発と保守
  7. 会員データのアクセスを業務上の必要範囲内で限定
  8. アカウントID管理
  9. 物理的アクセスの制限
  10. ネットワーク、会員データアクセス追跡・監視
  11. セキュリティシステム及び管理手順の定期的査察
  12. 情報セキュリティに関するポリシー 整備

特に上記の要件6については、2007年7月からカスタムアプリケーションのセキュアコーディングもしくはアプリケーションレイヤファイアウォール(WAF)のインストールの実施を求めています。


PCIDSS(データセキュリティスタンダード)要件6の強化


要件6の強化対応に必要なこと

セキュアコーディングもしくはWAFのインストールか?という選択材料の一つとして現状のWebアプリケーションの脆弱性をソースコードレベルで把握する必要があります。既に、要件11に準拠した定期的な外部診断を受けられているお客様におかれましても、新たに(外部侵入+攻撃診断)+(ソースコードレベルの診断)の2つの診断手法を併用した診断をお勧めしています。
従来のPCI準拠の手法では対応しきれないアプリケーションの根本的なリスクを洗い出し、PCI要件6強化に備えることが重要です。


関連製品