TECHNODIGITAL > STRENGTH > 品質
強み
Development品質(Quality)
1、特徴
ソフトウェアのテストは、様々な業態により多種多様で、スケジュール、コスト、業態に合わせたテスト手法が求められます。テクノデジタルでは、ソフトウェア品質特性(ISO/IEC9126)による観点も取り入れつつ、スケジュール、コストに見合ったテスト計画をご提案しています。
2、強み
- 各デバイス(PC/Mac、スマートフォン等)の保有率を把握しています。
※サービスに求められるデバイス/ブラウザのシェアを求め、そこから対象ブラウザ/デバイスを選定しています。 - サービスを意識したテスト計画・設計を行うことが可能です。
- 大規模システム開発の経験から、高トラフィックに対する性能を担保することが可能です。
- システム障害を意識したテスト(設計フェーズで冗長構成等をご提案)を実施します。
- 単体テスト、結合テスト、システムテストのそれぞれで、テスト観点と範囲を広げながらテストを実施します。
- 個人情報(Pマーク取得)、セキュリティにおいて安心したテストを実施します。
- ユーザビリティテストを実施します。
ウォーターフォールV字テスト
アジャイル/スクラムでのテスト
3、Webシステムにおいては特に下記の観点を重視し、テスト検証を行います。
- 機能テスト
- 要件に定めた仕様通りの機能が実装されているか
- 性能/負荷テスト
- 想定ユーザ数からのアクセスに対して定められたレスポンスタイムで応答できるか
- ユーザビリティテスト
- ユーザにとって使いやすいシステムであるか
- セキュリティテスト
- 悪意のあるユーザからの攻撃に対し、不正な処理やユーザ情報漏えいを防ぐための対処ができているか
4、ユーザビリティテスト
ソフトウェアの品質は、プログラムの不具合を抑えるだけではありません。利用ユーザを想定し、サービスが便利で感動を与えるものでなくてはなりません。
- ユーザインタフェースは直感的か
- 複雑な操作が利用の難易度を上げていないか
- エラーメッセージは分かりやすいか
- レスポンスタイムは十分か
洗練されたアプリケーションであるためのテストを行えることが当社の強みです。
5、自動化
当社では、SeleniumやJMeterといったテストツールを用いたテスト自動化を行うことが可能です。
シナリオテスト
当社ではSeleniumスクリプトを用い、テスト自動化を図ります。特に、入力パラメータが数十パターンにもなるようなシナリオや、既存システムに影響を及ぼしていないかなどのレグレッションテストなど、自動化が効果的な範囲を抽出し実施することができます。
負荷テスト
システム負荷テストでは、JMeterを用い、利用想定ユーザ数の負荷をかけつつ、システムが正常に動作することを検証します。
6、テスト以外での品質担保
品質を向上させるのはテストだけではありません。
開発工程の重要なタイミングで上級エンジニアがレビューを行うことで、プログラムの不具合のみならず、仕様上のギャップ、コーディングルールが統一されているかを担保することが可能です。
7、セキュリティ
悪意のあるハッカーからの攻撃に対しシステムは防御する術を持たなくてはなりません。当社では、Webシステムにおいて下記のセキュリティ検証を行っています。
SQLインジェクション
データベースへの命令を直接実行させ、情報取得や改ざんを行う攻撃。プログラムがSQL実行時にパラメータの無害化が正常に行われていないセキュリティホールを狙い、故意に不正な処理を実行させます。
クロスサイトスクリプティング
入力内容を画面に表示するような機能に対し、悪意のあるスクリプトを注入し、第3者のユーザに意図せずスクリプトを発動させる攻撃。入力にJavascript等が含まれていないかどうかの入力チェックや無害化が行われていないWebサイトがセキュリティホールとなり、意図しない処理や、他のユーザ情報を漏えいする可能性に繋がります。
クロスサイトリクエストフォージェリ(CSRF)
他のサイトで仕込まれた悪意のあるスクリプトにより、対象システムに対して情報取得や改ざんを行う攻撃。ログインセッションの暗号化や、ログイン時に認証を行っていないシステムが攻撃の対象となります。
ディレクトリ・トラバーサル
予期せぬディレクトリの特定のファイルを閲覧、改ざんされる攻撃。入力パラメータを無条件で受け入れ、参照ディレクトリが変更されたことをチェックしないシステムがこのセキュリティホールになります。
コマンドインジェクション
システムのコマンドが無効化されたり、予期せぬコマンドが実行されたりする攻撃。OSレイヤに対して直接的な攻撃が仕掛けられるため致命的なセキュリティホールとなります。パラメータを元にコマンドを実行するような処理で、エスケープ処理されていない場合は致命的な問題となります。
セッションハイジャック
ログイン中の状態を第3者が生成もしくは盗み取ることで本人しか実行できない処理、情報を抜き取る攻撃。予期可能なセッション文字列や、第3者にセッション情報が洩れるシステムが攻撃対象となります。
HTTPヘッダインジェクション
HTTPヘッダが偽造されることで、クロスサイトスクリプティングと同様の操作や、その他攻撃のセキュリティホールとなります。
URLパラメータだけではなく、HTTPヘッダに対しても入力チェックを行う必要があります。
DoS攻撃
悪意のある攻撃者が、大量のリクエストを送りつけることにより、ハードウェアリソースを枯渇させて、システムをダウンもしくは他のユーザのアクセスを不能にさせる攻撃。OSや、Webサーバーなどのミドルウェアに対しDoS攻撃検知の仕組みを設ける必要があります。また、スクリプトを仕込まれDoS攻撃の中継ポイントとして攻撃者に加担させられないような対策が必要です。
メールサーバー(MTA)不正中継
他のメールサーバーからの中継ポイントとして利用することにより第3者からの隠蔽、偽装などを行う攻撃。メールサーバーの設定でしっかりと中継を許可するホストを限定する必要があります。
8、専門サービス、ツールとの連携
バグ、要件管理ツール
当社ではbacklogを全プロジェクトで利用しています。
お客様とツールを介し要件を共有することで、要件の齟齬、不具合改修漏れを防止しています。また、過去の不具合の傾向を蓄積し、迅速な改修と不具合防止に繋げています。
セキュリティ診断サービス
開発プロセスにおいて、セキュリティ診断の専門チームと連携して開発を進めることが可能です。
当社で推奨する専門サービス「セキュアスカイ・テクノロジー Webアプリケーション診断サービス」
