PROJECT THEME

業界では知らない人はいないと言われる程の知名度を誇る趣味専門チャンネルとしてVOD サービスを運営するお客様でしたが、第三者によるサイバー攻撃をうけ、約6 万5千件程の個人情報漏洩事故が発生。情報漏洩事故後、VODサービスサイトに対し脆弱性診断を実施。脆弱性診断にて指摘された大小
のセキュリティ的に問題のある箇所をすべて改修するといったテーマを掲げ、プロジェクトがスタートしました。

情報漏洩 脆弱性診断 不具合改修 


バグフィックス リファクタリング 設計書がない


開発言語: PHP

クライアントの課題・ご要望

お客様

お客様の課題
設計書などのドキュメントは何一つない。これまでは様々な歴代の開発担当者が思い思いに開発していたので、ソースコードの中身を詳しく知っている担当者がいない状況ですが、脆弱性診断で指摘のあったセキュリティ上の問題個所をVODサービス上の機能動作を変えずに、すべて改修してほしい。

APPSWINGBY

課題解決のご提案
NDA締結後、ソースコードと脆弱性診断の結果を共有をお願いします。また、脆弱性診断の結果について詳細なヒアリングを行いたいので、脆弱性診断を実施したセキュリティ会社の技術者とのお打ち合わせの場のセッティングをお願い致します。

今回、ご依頼頂いた「脆弱性診断にて指摘の受けたセキュリティ上問題のある箇所の改修」プロジェクトは、簡単なシステム構成図があっただけで、設計書などのドキュメント類は一切ない状態でしたので、ソースコードの解析からのスタートとなりました。

開発までのアプローチと工程

ソースコードの解析からスタート
設計書も、システム構成図も、ビルド手順もない状態からスタートした本プロジェクトは、お客様から共有頂いたソースコードを解析することから始まりました。
ソースコードのリファクタリングの実施
ソースコードの解析と並行し、ローカルに環境を構築します。ソースコード解析の結果からリファクタリングの準備を進めます。ソースコード解析よって炙り出された”何度も繰り返し処理が書かれている非効率なコード”や”セキュリティ的に問題のあるコード”、”ローカル環境上の動作試験によって確認できた未知の不具合”などをお客様と本来あるべき仕様を確認しつつ、リファクタリングを行いました。
ローカルで脆弱性診断試験と同じテストを実施
セキュリティ上の問題を改修いたことを確認する為に、ローカルに同環境を構築し、脆弱性診断で行われた相当の内容でテストを作成し、セキュリティテストと動作テストを実施します。また、改修したソースコードはソースコードスキャンにかけられ、改修したコード内に未知のセキュリティ問題が潜んでいないかについてもチェックを行います。
脆弱性診断の再診断を実施施
情報漏洩事故発生後に脆弱性診断を実施したセキュリティ会社の再診断を実施。前回、セキュリティ上に問題があると指摘されたすべてのソースコードの問題がすべて改修されていることが確認でき、脆弱性診断の結果、すべて合格となりました。

実現した機能と成果

脆弱性の改修

事前に行ったコードスキャンによって発見されていたSQLインジェクション、クロスサイトスクリプティング(XSS)等の脆弱性をすべて改修しました。

リファクタリング

リファクタとは、既存のアプリやサービスの動作を変えることなく、不具合箇所の改修や機能追加、セキュリティに問題のあるコードを修正するサービスです。

脆弱性診断の再実施

初回の脆弱性診断で指摘されたすべてのセキュリティに問題がある箇所をソースコードレベルで改修。脆弱性診断の再診断にすべて合格しました。