クライアントの課題・ご要望
お客様の課題
設計書などのドキュメントは何一つない。これまでは様々な歴代の開発担当者が思い思いに開発していたので、ソースコードの中身を詳しく知っている担当者がいない状況ですが、脆弱性診断で指摘のあったセキュリティ上の問題個所をVODサービス上の機能動作を変えずに、すべて改修してほしい。
課題解決のご提案
NDA締結後、ソースコードと脆弱性診断の結果を共有をお願いします。また、脆弱性診断の結果について詳細なヒアリングを行いたいので、脆弱性診断を実施したセキュリティ会社の技術者とのお打ち合わせの場のセッティングをお願い致します。
今回、ご依頼頂いた「脆弱性診断にて指摘の受けたセキュリティ上問題のある箇所の改修」プロジェクトは、簡単なシステム構成図があっただけで、設計書などのドキュメント類は一切ない状態でしたので、ソースコードの解析からのスタートとなりました。
開発までのアプローチと工程
- ソースコードの解析からスタート
- 設計書も、システム構成図も、ビルド手順もない状態からスタートした本プロジェクトは、お客様から共有頂いたソースコードを解析することから始まりました。
- ソースコードのリファクタリングの実施
- ソースコードの解析と並行し、ローカルに環境を構築します。ソースコード解析の結果からリファクタリングの準備を進めます。ソースコード解析よって炙り出された”何度も繰り返し処理が書かれている非効率なコード”や”セキュリティ的に問題のあるコード”、”ローカル環境上の動作試験によって確認できた未知の不具合”などをお客様と本来あるべき仕様を確認しつつ、リファクタリングを行いました。
- ローカルで脆弱性診断試験と同じテストを実施
- セキュリティ上の問題を改修いたことを確認する為に、ローカルに同環境を構築し、脆弱性診断で行われた相当の内容でテストを作成し、セキュリティテストと動作テストを実施します。また、改修したソースコードはソースコードスキャンにかけられ、改修したコード内に未知のセキュリティ問題が潜んでいないかについてもチェックを行います。
- 脆弱性診断の再診断を実施施
- 情報漏洩事故発生後に脆弱性診断を実施したセキュリティ会社の再診断を実施。前回、セキュリティ上に問題があると指摘されたすべてのソースコードの問題がすべて改修されていることが確認でき、脆弱性診断の結果、すべて合格となりました。
実現した機能と成果
脆弱性の改修
事前に行ったコードスキャンによって発見されていたSQLインジェクション、クロスサイトスクリプティング(XSS)等の脆弱性をすべて改修しました。
リファクタリング
リファクタとは、既存のアプリやサービスの動作を変えることなく、不具合箇所の改修や機能追加、セキュリティに問題のあるコードを修正するサービスです。
脆弱性診断の再実施
初回の脆弱性診断で指摘されたすべてのセキュリティに問題がある箇所をソースコードレベルで改修。脆弱性診断の再診断にすべて合格しました。
ご相談・お問い合わせはこちら
APPSWINGBYのミッションは、アプリでビジネスを加速し、
お客様とともにビジネスの成功と未来を形作ること。
私達は、ITテクノロジーを活用し、様々なサービスを提供することで、
より良い社会創りに貢献していきます。
T関する疑問等、小さなことでも遠慮なくお問合せください。3営業日以内にご返答致します。
ご相談・お問合せはこちら
APPSWINGBYのミッションは、アプリでビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること。
私達は、ITテクノロジーを活用し、様々なサービスを提供することで、より良い社会創りに貢献していきます。
IT関する疑問等、小さなことでも遠慮なくお問合せください。3営業日以内にご返答させて頂きます。
