bubbleで受託開発している方に質問です。
一般的にアプリを受託開発する際に、脆弱性診断を行う場合もあると思いますが、bubbleでアプリ開発した場合の脆弱性診断はどのように行う場合が多いですか?
「基本的な脆弱性はbubble側で対応している」とか、「こんな診断ツールを使っている」、「脆弱性なんて気にせず受託開発している」「脆弱性診断を求められたら受託開発しない」など知っていることがあれば教えていただきたいです。
受託開発は行っていないので、脆弱性診断を要求された場合にどうするか?の一般的なお話ですが共有します。
他の方のご意見も伺いたいので、こんな診断したよ!というものがあればどなたか回答お願いします。
脆弱性診断で要求されるものとして、インフラ、ミドルウエア、データ配置などがあると思います。
これらはユーザー側で知れる内容ではないので、Bubble側に問い合わせる形になると思います。
その回答が得られない場合、脆弱性検査を突破できない可能性が高いため、先方より要求される脆弱性診断内容を事前にいただいた上で、Bubble側に確認する必要があるもののみ問い合わせ。
回答内容から、先方の診断がクリアできそうかをすり合わせておくという形になると思います。
その他、Bubbleのエディタ上で開発する内容については、脆弱性診断の内容から実装方法をあらかじめ検証しておく必要があると思います。
ただ、基本的なセキュリティ対策はされていると思いますが、エディタの設定自体でリスクの程度がかなり変わるのでデータアクセス権限など注意して設計を行う必要がありますね。
先方に情報セキュリティポリシーってないんですかね?
ISMS/Pマーク認証 とっているとかとってないとかで色々対応違ってくると思います。
相手側にセキュリティポリシーがなければ、Bubbleで、ISOとかSOC2があるので十分ですよ。くらいでいいと思うんですよね。
テストツールの「QAWolf」みたいなでテストするくらいで十分な気がします。(ただのバグチェックですがw)
情報セキュリティは、非常に重要な項目ですが、先方にも一定のセキュリティエンジニアがいないと、なかなか整合性取れないとおもうので、
@yukikun さんの言っている
インフラ、ミドルウエア、データ配置
この部分においての、データ配置における、
「機密性」(Confidentiality)
「完全性」(Integrity)
「可用性」(Availability) をどの程度 Bubbleが担保しないといけないか? という相談になってくると思います。
総務省の参考ガイド よくまとまっていると思います。
「脆弱性診断を求められたら受託開発しない」など知っていることがあれば教えていただきたいです。
この選択は、やったこと無いですが、まじめな話、一方的に相手から脆弱性診断を求められているだけなら、断るのもアリだと思います。セキュリティってお互いが相談して決めていくものだと思うので。(個人的な見解ですが。)