セキュリティ専門技術者がお客様のWebアプリケーションに潜む
脆弱性を詳細に検査・わかりやすく報告する診断サービス(脆弱性診断)
セキュリティ・プラス
セキュリティ診断サービス
Webアプリケーション診断
脆弱性診断サービスはこんな方におすすめ
-
開発中のWebサービスやWebアプリケーションのセキュリティチェックを納品/稼働前に実施したい、
もしくは実施するように依頼を受けている方 - 現状のリスクを把握するため、セキュリティ専門エンジニアの意見が聞きたい方
- 個人情報を取り扱う(ECサイトやSNS等)Webサービスを運用している方
- 不特定多数のユーザがアクセスできるWebサイトを運用している方
昨今の社会において、組織や情報資産とインターネットの関係はますます深いものとなっています。
しかし同時に、Webアプリケーションに存在する脆弱性を狙ったサイバー攻撃も多数発生しており、今なお収束する様子はありません。
「脆弱性」とは、ソフトウェアに存在してしまったセキュリティ上の不具合のことを指します。モノの移り変わりが激しい現在の社会においては
予算、納期、叶えたい機能を優先させたい、等の問題でどうしてもセキュリティ面の優先度が落ちてしまう、という現実があります。
実際、Webアプリケーションに関するものが脆弱性報告の大半を占めているというレポートもあり、ソフトウェアひいてはWebアプリケーションの
脆弱性への対策がサイバー攻撃への防御策として必要になってきます。
しかしながら、いくら脆弱性への対策が必要であるからといって、闇雲にセキュリティ製品を導入するのは得策ではありません。
まずWebアプリケーションの脆弱性診断を行うことで正確に現状を把握し、適切な対応をとることをおすすめします。
「Webアプリケーション診断サービス」は、当社の経験豊富なセキュリティ専門技術者が、お客様のWebアプリケーションに潜む脆弱性を検査・検出します。
検査後、詳細で分かりやすいレポートを基に、当社の技術者による報告会を実施し、検査結果と今後の対応策をご提案させていただくサービスです。
※サーバインフラ・ネットワークについての脆弱性診断は「セキュリティ・プラス プラットフォーム診断サービス」をご用命ください。
アズジェントのセキュリティ診断サービスは経済産業省の定める「情報セキュリティサービス基準」に適合したサービスとして、「情報セキュリティサービス基準適合サービスリスト」に登録されています。
特長
-
専門の技術者による検査と報告
脆弱性診断に数多くの経験を有する技術者が、機械的な脆弱性診断ツールではわからないWebサイトの問題を検出します。Webサイトの特徴に応じた対策について、お客様に分かりやすい詳細なレポートをご提供いたします。 -
システム改修後の再診断サービスと30日間のQAサポート
発見された脆弱性については、お客様で実施した改修により問題が解決したか確認するための再診断が可能です(※オプション)。また、報告書の納品後も30日間のQAサポートを提供しているため、経験と知識が必要なセキュリティ対策について、技術的な不安を解消しながらセキュリティレベルの向上を図ることが可能です。 -
オンサイト、リモート どちらにも対応可能
Webアプリケーション診断サービスは、通常はリモートにて対象サイトへの診断実施を行いますが、指定場所にご訪問の上、診断実施することも可能です。
サービスの導入効果
- セキュリティ専門技術者の的確な診断により、セキュリティ対策の期間とコストを最適化
- 個人情報漏洩やそれに伴う損害賠償等のリスクを軽減
- お客様が運用するWebサイトについて、安全性を的確に把握し運営者の信頼アップ
- 独立した第三者による診断で、客観的に問題が指摘され、外部監査の報告としても有効
お客様の声
サービスの流れ
サービス実施内容
下記は診断項目の一部です。詳しくはお問い合わせください。
サービス項目 | 内容 | |
主な診断項目 | クロスサイトスクリプティング | 悪意のあるスクリプトがWebアプリケーションを介して実行される危険性がないか検査します。 |
---|---|---|
クロスサイトリクエストフォージェリ | 意図しない別のWebサイト上で何かしらの操作(書き込み)が行われる危険性がないか検査します。 | |
SQLインジェクション | Webアプリケーションが想定しないSQL文を実行されることにより、データベースシステムを不正に操作される危険性がないか検査します。 | |
OSコマンドインジェクション | 外部からWebサーバのOSコマンドを不正に実行される危険性がないか検査します。 | |
ディレクトリ・トラバーサル | 通常アクセスできないファイルやフォルダが閲覧されてしまう危険性がないか検査します。 | |
強制ブラウジング | 公開されることを想定していないコンテンツが不正に使用される危険性がないか検査します。 | |
認証機能/アクセス制御の不備 | 適切なログインを行うことなく、ログイン後のコンテンツにアクセスされる危険性がないか確認します。 |
報告書
診断の結果として作成する報告書は、発見された指摘事項を確認する上でとても重要な要素です。
アズジェントの報告書は、2部構成となっています。管理者様向けの「サマリー」、修正を担当されるエンジニア様向けの「脆弱性詳細」。
ご確認される方に応じて使い分けができ、分かりやすいと好評いただいています。
導入企業様ご紹介
様々な業界で診断サービス導入の実績
サービスFAQ
- 料金の見積もりには何が必要でしょうか?
- 基本的には対象となるサイト(URL)を確認させていただきページ数やフォームの数などをもとにお見積いたします。開発中や外部公開が困難な場合は、スクリーンショットや画面遷移図を頂戴する場合がございます。また報告会、Q&A、再診断のご希望有無についても伺います。
- どのような方法で診断を行いますか?
- 複数のツールによる診断とアナリストによる手動での診断を組み合わせて行います。リモート診断ではインターネット経由で行い、外部から接続できない環境の場合は当社持込診断PCをお客様ネットワークに接続しオンサイトで行います。
- 診断実施中に、緊急で対応が必要な脆弱性が見つかった場合は、その内容を通知することは可能でしょうか。
- はい、速報という形で内容をご連絡させていただきます。
- 報告書はどのような内容になりますか?また、サンプルの提供は可能でしょうか。
- 報告書の内容については、サンプルレポートをご提供しております。ご希望の方は、お問い合わせフォームよりお申込みください。