被害例

情報セキュリティにまつわる事件・事故が増加しています

ここ数年、情報セキュリティにまつわる事件・事故が、ニュースや誌面をにぎわせています。ある大手通信会社は、400万件を超える個人情報を漏洩したとされ、お詫びの金券で総額数十億円の費用を支払ったと報じられています。
代償は金銭的な損失だけではありません。長期間かけて築いてきた、企業ブランドやサービスの信頼性を失うことも考えられます。従来の個人情報漏洩は、名簿の紛失・盗難によるものが中心でした。近年は、個人情報の電子化に伴いPCや記録媒体の紛失・盗難による漏洩が増え、そしてインターネット上で個人情報を扱うウェブアプリケーションの増加に伴いウェブアプリケーションへの不正アクセス等による漏洩が増えています。ウェブアプリケーションを提供する運営者や開発者にとって、その安全性の確保は必須となっています。

ウェブアプリケーションの安全性はまちまち

ところが現実には、実運用されているウェブアプリケーションの安全性はまちまちです。ひとつには開発言語の問題があります。PHPは習得しやすく生産性が高いためウェブアプリケーション開発言語のスタンダードの一つとなっていますが、他方でプログラマーの力量に個人差がでやすい傾向があります。結果として様々な「脅威」を含んだままの低品質なPHPアプリケーションが実運用されてしまうことがあります。
そうした低品質なPHPアプリケーションは、次のようなセキュリティリスクを内在している可能性があります。
個人情報流出およびデータ改竄・削除「なりすまし」による個人情報流出やカード番号盗難 システム管理権限の奪取

開発現場ではなかなかチェックしきれない

実は、開発現場において、効果的かつ効率的にプログラムの評価を行うのは容易ではありません。
まず、セキュリティリスクが品質管理の対象とみなされず、プログラマー個人の技量とポリシー任せとなってしまう場合が少なくありません。また、組織的に品質管理に取り組んでいる開発現場でも、項目漏れやチェック漏れが発生する可能性があります。

PHPコード監査サービス「codereview」の登場です

株式会社ディノは、PHPアプリケーション開発のプロフェッショナル集団です。株式会社ディノは、これまでの実績と技術的蓄積を生かし、第三者的な立場からプログラムの品質を定額で監査するサービス「codereview」をスタートいたしました。
お客様からソースコードをお預かりし、オリジナルのチェックツールを併用しながら、技術者が「安全性」「保守性」「性能」「欠陥」の4つの視点でソースコードの抜き取り監査を行います。