脆弱性診断サービス

products01

脆弱性診断サービスについて

ねらい・効果

ITシステムの脆弱性を洗い出してそのリスクを評価することで、ITシステムとその利用者、すなわち貴社のビジネスとそのお客様にふりかかる脅威に対抗する適切かつ効果的な解決策を検討・選択していただくことをご支援いたします。

当社の強み

ITシステムの開発・保守運用、およびセキュリティの経験やノウハウを持った専門家チームが、貴社の課題やITシステムの特性を踏まえてスピーディな問題解決をご提案いたします。

メニュー

ITシステムの構成毎にメニューをご用意しています。

Webアプリケーション脆弱性診断サービス

icon-hand-o-right セキュリティ対策までの道のり

icon-hand-o-right 適切なセキュリティ対策とは?

  • 「脆弱性を減らす、なくす」…アプリケーションプログラムの改修、設定の見直し、
    セキュリティパッチの適用など
  • 「攻撃を防ぐ」…IPS、IDS、UTM、、WAFの導入
  • 「不測の事態に備える」…改ざん検知、セキュリティ監視

icon-shield 有料診断プラン

脆弱性診断ツールと専門の診断員による手操作での確認を組み合わせて、きめ細かく、深く診断をいたします。CMS、EC、ソーシャル、ゲーム、Webサービス(API)など幅広く対応いたします。

エコノミープラン スタンダードプラン エキスパートプラン クイックプラン
はじめて診断を受診される方、大まかにリスクを把握されたい方向けのプランです。 セキュリティ対策を実施し、サイトの安全性を高めたい方向けのプランです。 システム開発サイクルまで踏み込んで、安全なWebサイトを実現させたい方向けのプランです。 検出された脆弱性を速やかに改修されたい方向けのプランです。

icon-hand-o-right サービスの目的・狙い

ネットワークファイヤーウォールでは防ぐことのできないWeb アプリケーションに対する攻撃に備え、Webアプリケーションに 内在する脆弱性を洗い出し、そのリスクを評価することで、効果 的なセキュリティ対策を実施していただくための検討材料を ご提供いたします。
インパクトの大きなものから優先度をつけて、適切かつ確実に対策を実施していただくことで、Webアプリケーションをより一層 安全に運用していただき、お客様の大切な情報資産を守ることに つなげていくことを目指します。

icon-hand-o-right 脆弱性診断観点

以下のセキュリティ観点に基づいて、Webアプリケーションのリスクを評価しています。

  • 【機密性】
    個人情報や業務上の機密情報、システムの内部情報など一般に 非公開にすべき情報が開示すべき範囲を超えて漏えいしないか?
  • 【完全性】
    機能が想定外の動作を引き起こさないか? データが改ざん・破壊されないか?
  • 【可用性】
    許可されない機能やデータにアクセスされないか? サービスの提供を妨害・停止させられないか?

icon-hand-o-right 脆弱性診断項目

以下の診断項目にしたがって、Webアプリケーションの脆弱性を洗い出します。

No. 診断項目 主な脆弱性
入出力 SQLインジェクション、トラバーサル、XSS、価格改ざん
機能 CSRF、フロー制御
セッション管理 セッション固定攻撃、セッションIDの強度
認証認可管理 総当たり攻撃、認証の不備、アクセス制御の不備
ユーザー管理 パスワード変更、リマインダの推奨事項
情報 情報の取り扱いの不備
通信制御 通信の暗号化、サーバ証明書
クライアント制御 画面設計、キャッシュ
サーバー設定 サーバ設定、既知の脆弱性
10 その他 ポリシー
※OWASP TOP 10、IPA 安全なWebサイトの作り方、Web健康診断仕様などの各種セキュリティ基準をベースに独自の項目を加えて編纂しています。
※開発者視点で分類することにより、対策を実施される現場の方にセキュリティをしっかりお伝えしたいと考えています。

icon-hand-o-right 脆弱性診断サービスフロー

以下のサービスフローにしたがって脆弱性診断を進めてまいります。

icon-hand-o-right 診断作業の実施イメージ

診断作業の実施イメージを以下に示します。

icon-hand-o-right 対象システムへの疑似攻撃(診断手法)

ブラウザからサーバに送信されるHTTPリクエストを改ざんし、サーバ側プログラムが処理した結果返されるHTTPレスポンスの内容を確認することで、Webアプリケーションに内在する脆弱性の存在を検出します。

<

icon-hand-o-right 診断ツール

診断作業では、以下の診断ツールを使用します。

icon-check-square-o ローカルプロキシツール(Fiddler、Burp、ZAP)

専門の診断員が手操作で診断を実施するために使用します。

icon-check-square-o 独自ツール(パターンスキャン)

カスタムアプリケーションの作りは一つ一つ異なり、人間による判断が必要な場合が多いため、専門の診断員が診て判断することに適した独自のツールを使用しています。

icon-check-square-o 市販の脆弱性スキャナは使用していません。

AppScan、VEXなど市販ツールの使用は別途ご相談となります。

icon-hand-o-right 脆弱性診断結果のご報告

検出される主な脆弱性
  • SQLインジェクション、OSコマンドインジェクション、ディレクトリトラバーサル
  • クロスサイトスクリプティング、HTTPレスポンスヘッダインジェクション、オープンリダイレクタ
  • クロスサイトリクエストフォージェリ
  • セッションフィクセーション、セッションIDの強度不足
  • ブルートフォース、認証機能の不備
  • アクセス制御の不備
  • 重要情報取り扱いの不備
主な報告事項
  • リスク評価
  • 脆弱性の解説
  • 対策案・改善案
  • 該当箇所
  • 再現方法

icon-hand-o-right 報告書サンプル

  • 報告書サンプル1ページ目