NRIセキュア、ソースコード診断サービスにバックドア検査特化プラン

NRIセキュアテクノロジーズは6月9日、同社が提供している「ソースコード診断」サービスにバックドア検査に特化した「Lite」プランを追加したことを発表した。

SQLインジェクションやクロスサイトスクリプティングなどWebアプリケーションを狙う攻撃では、広範囲に影響が及ぶ可能性が拭えない。開発段階からソースコードを診断し、セキュリティ上の問題点を網羅的に洗い出す同サービスは、専門家による定点目視レビューとツールを用いてソースコード自体のセキュリティ上の問題を見つけ出すもので、アクセス権や脆弱性、システムの堅牢性やセキュリティ要件を有するランダムID等の生成方式のチェック等を診断項目に列挙されている。

従来、"限られた人物のみが対象システムを操作できるシステム仕様に記載されない隠された機能"を洗い出すバックドア検査はオプションで提供されていたが、今回、軽量プラン「Lite」として特化したプランで提供を開始している。同社では、その背景に経済安全保障推進法施行による委託先を含めたソフトウェアサプライチェーン全体のセキュリティ対策を挙げている。

「ソースコード診断 Lite」では、入力ソース、トリガー、ペイロード、特権状態のバックドア動作の4要素に着目し、以下の6つ(特別な入力値、隠しコマンド実行機能、意図しないネットワーク活動、脆弱な設定や機能の埋め込み、過度な権限付与、難読化)の観点でバックドアの有無を精査する。