要件定義とセキュリティ要件の洗い出し
UX/UIのアーキテクトとセキュリティアーキテクトがタッグを組んで要件定義します。
-
プロジェクトキックオフ
利用者は誰かということを重視した、UX/UI先行で要件定義をします。この段階ではセキュリティという制約を設けません。通常の開発プロジェクトと同じ、自由にアイデアを出し合い、要件を固めていきます。 -
セキュリティレビュー
固まった要件を基に、セキュリティガイドラインに則って、セキュリティの問題になりそうな点を洗い出します。
- セキュアアプリケーション開発 -
セキュリティをまるっとおまかせ
開発領域: Webアプリ開発、クラウド環境構築、スマホアプリ開発
開発とセキュリティのプロフェッショナルが共同でシステム開発プロジェクトのチームとして支援します。
- ビジネス企画段階から納品まで全てに対応
- 脆弱性診断の豊富な実績を元にした、システム開発向けの独自ガイドラインを活用
- 開発工程の初期の作る段階からセキュリティガイドラインに則って、セキュリティに強い開発を実施
セキュアアプリケーション開発は
こんな方におすすめ
- 個人情報など取扱いに注意が必要なアプリケーションを開発したい
- 脆弱性診断後の手戻り発生による、リリース遅延を防止したい
- セキュリティに問題があったアプリケーションを作り直したい
セキュアアプリケーション開発 の
3つの特長
01イエラエのセキュリティ知見をフィードバックしたセキュアなアプリ開発
イエラエセキュリティでは、脆弱性診断の数多くの実績があります。設計時からセキュリティに考慮すべきことをガイドライン化して、自社の開発チームと情報をシェアしています。開発チームはガイドラインを活用して設計を施すことで、シフトレフトにつなげています。
02クラウド・スマホ・Webアプリに対応
クラウドからスマホアプリ、Webアプリケーションまで多岐にわたるプラットフォームに対応した開発します。
| Webアプリ開発 | Vue.js、React、Node.js、Python、PHP、Java |
| クラウド環境構築 | AWS、GCP、Azure, Salesforce |
| スマホアプリ開発 | Android(Java)、iOS(Swift)、React Native |
03専門領域の広さと豊富なアプリ開発実績
イエラエは、2022年より 3 社と経営統合しました。
システム開発のレピダム、UIUXのオハコ、デジタルデザインのツードッグスとの統合により、
戦略設計から企画、デザイン、開発、保守運用、そしてグロースまで、包括的な支援ができるチームです。
3社に10年以上の豊富な開発実績があります。対応領域も広く、個々の専門性が高いことも強みとなっています。
事例① 特定疾患向けスマートフォンアプリ開発
- 医療業界のアプリの開発および保守運用
- AWSでのサーバーレスコンピューティングモデルを構築
- 米国の医療システム向け個人情報保護基準(HIPAA)に準拠した高レベルのセキュリティ要件を満たすシステム
- OSアップデートやパッチ等のインフラ管理削減と高可用性を実現
事例② メッセージ送信システム開発
- メッセージ送信と利用者からの応答などを受け付けるシステムの開発
- AWS基盤上のインフラ設計および構築と一部APIの開発を担当
- PCI DSSや銀行内セキュリティ基準の順守といった金融向けの高セキュリティのアーキテクチャを実現
- 個人情報取り扱いの観点で専用線経由でのオンプレとの連携も実現
※その他にも実績をとりまとめたポートフォリオがありますので、お気軽にお問い合わせください。
セキュアアプリケーション開発の
実施フロー
-
01
要件定義
-
02
設計
フロントエンド設計/バックエンド設計、インフラ設計とセキュリティレビュー
サービス要件を重視しつつ、セキュリティ対策も共存できるような、バランスがとれた設計をします。
-
仕様策定
フロントエンド、バックエンド、インフラ設計のプロフェッショナルをアサインして設計をします。 -
アーキテクチャーレビュー
固まった要件を基に、セキュリティガイドラインに則って、セキュリティの問題になりそうな点を洗い出します。
-
-
03
実装・テスト
コーディングとテストとソースコードレビュー
ソースコード自体のホワイトボックス診断でセキュリティを高めます。
-
セキュアコーディング
セキュア コーディングとは、悪意のある攻撃者やマルウェア等による攻撃に耐え得る、堅牢なプログラムを書くことです。 -
テスト
単体テスト、結合テスト、システムテスト、運用テストを実施します。
※イエラエセキュリティには、バグバウンティの上位ランカーが在籍しています。ご希望に応じて、彼らをアサインしてテストを実行することが可能です。
-
セキュアアプリケーション開発の
よくある質問
- Qシステム開発と脆弱性診断が同一企業では第三者検証にならないのでは
- A3つの取り組みを施しています。
①管掌役員の分離を行い、それぞれの各部門責任者による品質管理責任の元それぞれ独立して、各エンジニアが業務に就いております。
②診断結果の別部署による恣意的な改ざんが行えないように制御しております。
・開発用のファイルサーバに診断員はアクセスできません
・診断用のファイルサーバに開発者はアクセスできません
③お客様からの書面等によるご依頼がない限り、診断チームに開発会社情報を提供しておりません。
※開発会社が社内ではない場合も同様に対応しております。
- Q開発コンサルのみのサービス提供は可能か
- A可能です。
お見積り/お問い合わせ
資料請求はこちら
その他のサービス一覧
- Webアプリケーション診断 プレミアムプラン
- Webアプリケーション診断 ライトプラン(ASVS)
- 脆弱性診断(セキュリティ診断)とは
- Webペネトレーションテスト <シナリオ型>
- Webペネトレーションテスト <調査型>
- Webアプリケーション診断 おまかせプラン
- NFT・ブロックチェーン脆弱性診断
- GMOサイバーセキュリティ for 社会インフラ
- ドローン/eVTOL 診断
- クラウド診断
- レッドチーム演習
- インシデントレスポンス訓練コース
- オフェンシブセキュリティ資格取得コース
- セキュリティ訓練/資格取得
イエラエアカデミー byGMO - クラウドセキュリティ・
アドバイザリー - デジタルフォレンジック・
セキュリティインシデント対応支援 - Emotet感染対応
- セキュアアプリケーション開発
- 漏洩情報調査(Webmonitor)
- プロアクティブフォレンジック
- 調査ログ取得支援
- システムアーキテクチャレビュー・
コンサルティング - 事故マニュアル作成支援
- 脅威モデリング・
リスクアセスメント - デスクトップアプリ診断
- Webアプリケーション診断
- 調査特化型
- 物理環境
- OSINT
- 標的型攻撃
- ペネトレーションテスト
(侵入テスト) - セキュア開発プロセス支援
- スマホアプリ
(iOS・Android)
脆弱性診断 - ネットワーク診断(プラットフォーム診断)
- ゲームチート
ペネトレーションテスト - IoTデバイス
ペネトレーションテスト - CSIRT支援
- ディフェンスセキュリティ
- セキュリティコンサルティング
- 3大クラウドセキュリティ一元管理サービス Orca
- 新種マルウェア対策支援サービス BitDam
- GMO AIセキュリティ診断 for GPT
