こんなお悩みありませんか?
-
開発後の修正の手戻りが多く、開発予算がオーバーしてしまう…
-
修正の対応に時間がかかり、納期がオーバーしてしまう…
-
システム稼働後にセキュリティリスクが発見されてしまった…
-
開発後の修正の手戻りが多く、開発予算がオーバーしてしまう…
-
修正の対応に時間がかかり、納期がオーバーしてしまう…
-
システム稼働後にセキュリティリスクが発見されてしまった…
SHIFT SECURITYの
ノウハウを活かした
開発の前工程の
改善コンサルティングで
解決します
-
改善前
大量の出戻りが発生 納期、コスト ×
-
改善後
コンサルティングで
前工程を改善! 納期、コスト ◎
事例
Case.1設計レビュー
どんなお客様に適したサービスなのか
- 「セキュアなソフトウェア開発」を開発者に定着させ、継続的にセキュアな製品を開発したい
- 納品までのスケジュールや工数が厳密に決まっていて開発後の手戻りを避けたい
- 開発中の製品のセキュリティリスクを実装完了前に把握したい
お客様はどのタイミングでそのサービスを発注するのが良いのか
- コーディングフェーズの前。各設計(基本設計や詳細設計)の後。
お客様になにをするサービスなのか
- ASVSなどのセキュリティ要件を開発中の製品が満たすかを設計段階で検証します。
- 設計段階でセキュリティ要件が漏れている、あるいは、セキュアでない設計がされている箇所に対して、 どのようなリスクを生じるか、どのような対策が適切かを指摘します。
どんな人がサービスを行ってくれるのか
- 脆弱性診断の観点や検証手法を研究開発している技術者がコードをレビューします。
そのサービスによりお客様が得られるメリットはなにか
- 開発中の製品が国際的なセキュリティ検証観点であるASVSを満たすかを設計段階で検証できます
- 検証結果には想定リスクや対策が記載されているため、実装に入る前に対策の要否を判断できます
- これによりセキュアになった設計書などの文書類は開発の最終工程に位置する脆弱性診断に対する「虎の巻」となり、 手戻りを効果的に抑止できます。
そのサービスの他社と差別化できるポイントはなにか
- レビューの基準として国際的なセキュリティ検証観点であるASVS を用います。
- ASVSは広く脆弱性診断の基準として用いられているOWASP Top10 と同じ組織が定めており、 OWASP Top10を網羅すると共に、さらに厳格なセキュリティ検証観点を定めています。
Case.2PCI DSS 取得支援
どんなお客様に適したサービスなのか
- クレジットカード情報を扱う予定があり、PCI DSS の取得を目指している
- PCI DSSの維持のための体制を合理化したい
お客様はどのタイミングでそのサービスを発注するのが良いのか
- PCI DSS取得検討時
- PCI DSS取得・維持のための各種診断の検討時
お客様になにをするサービスなのか
- Fit&Gap: 現在の体制における問題点の洗い出し&対策の検討
- 規定・ガイドライン策定: ヒアリングを行い必要な規定類を作成
- 教育・環境構築支援: 社員・経営者への教育やセキュアな社内環境構築の支援
- コンサルティング: 一般的なセキュリティに関する質問等をメールやSlackで回答
- 脆弱性診断: PCI DSSの取得や維持に必要な各種診断の支援
どんな人がサービスを行ってくれるのか
- PCI DSS や ISMS 等の各種セキュリティ規格の取得支援で実績のあるメンバ
- ダークウェブや攻撃者の実態にも詳しいセキュリティの専門家
そのサービスによりお客様が得られるメリットはなにか
- PCI DSS の取得
- セキュアな組織の構築
そのサービスの他社と差別化できるポイントはなにか
- 豊富な経験とそれに基づく豊富な各種文書のひな形により効果的に組織に適した規定類を整備できる
- ダークウェブや攻撃者の実態に精通しているため、効果的な対策を提案できる
Case.3インシデント対応
どんなお客様に適したサービスなのか
- 攻撃を受けており、急いで対応したい
- 攻撃で情報が漏洩していないかなど、影響を把握したい
お客様はどのタイミングでそのサービスを発注するのが良いのか
- 攻撃を受けたとき
- フォレンジック(影響調査)や再発防止策を検討するとき
お客様になにをするサービスなのか
- インシデントの状況をヒアリングし、一次対応(遮断や関係各所への連絡等)を提示、サポートします。
- フォレンジックを実施し、攻撃経路や影響(情報漏洩、改ざん等)を把握します。
- 再発防止に向けた対策の提案や、各種診断をサポートします。
どんな人がサービスを行ってくれるのか
- インシデント対応の経験が豊富なセキュリティエンジニアが対応します。
- ネットワークやWebサービス等に対する各種診断は、診断の専門チームが対応します。
そのサービスによりお客様が得られるメリットはなにか
- 迅速な対応が必要なインシデントの一次対応を安心してお任せ頂けます。
- インシデントから再発防止対策後の各種診断まで、一貫したサービスを受けられます。
そのサービスの他社と差別化できるポイントはなにか
- インシデント対応、フォレンジック、各種診断をそれぞれの専門家が対応するため、サービス全体を通して質の高い対応を提供できます。
- 迅速性が特に求められるインシデント対応に対しては曜日や時間を問わず、対応が可能です。
