サービス情報セキュリティサービス

セキュリティ専門技術者がお客様のWebアプリケーションに潜む
脆弱性を詳細に検査・わかりやすく報告する診断サービス セキュリティ・プラス
Webアプリケーション診断サービス

資料請求・お問合せ

昨今の社会において、組織や情報資産とインターネットの関係はますます深いものとなっています。
しかし同時に、Webアプリケーションに存在する脆弱性を狙ったサイバー攻撃も多数発生しており、今なお収束する様子はありません。
「脆弱性」とは、ソフトウェアに存在してしまったセキュリティ上の不具合のことを指します。モノの移り変わりが激しい現在の社会においては 予算、納期、叶えたい機能を優先させたい、等の問題でどうしてもセキュリティ面の優先度が落ちてしまう、という現実があります。 実際、Webアプリケーションに関するものが脆弱性報告の大半を占めているというレポートもあり、ソフトウェアひいてはWebアプリケーションの 脆弱性への対策がサイバー攻撃への防御策として必要になってきます。
しかしながら、いくら脆弱性への対策が必要であるからといって、闇雲にセキュリティ製品を導入するのは得策ではありません。 まずWebアプリケーションの脆弱性診断を行うことで正確に現状を把握し、適切な対応をとることをおすすめします。
「Webアプリケーション診断サービス」は、当社の経験豊富なセキュリティ専門技術者が、お客様のWebアプリケーションに潜む脆弱性を検査・検出します。
検査後、詳細で分かりやすいレポートを基に、当社の技術者による報告会を実施し、検査結果と今後の対応策をご提案させていただくサービスです。
 ※サーバインフラ・ネットワークについての脆弱性診断は「セキュリティ・プラス プラットフォーム診断サービス」をご用命ください。

Webアプリケーション診断(脆弱性診断)サービス概要

特長

  1. 専門の技術者による検査と報告
    脆弱性診断に数多くの経験を有する技術者が、機械的な脆弱性診断ツールではわからないWebサイトの問題を検出します。Webサイトの特徴に応じた対策について、お客様に分かりやすい詳細なレポートをご提供いたします。
  2. システム改修後の再診断サービスと30日間のQAサポート
    発見された脆弱性については、お客様で実施した改修により問題が解決したか確認するための再診断が可能です(※オプション)。また、報告書の納品後も30日間のQAサポートを提供しているため、経験と知識が必要なセキュリティ対策について、技術的な不安を解消しながらセキュリティレベルの向上を図ることが可能です。
  3. オンサイト、リモート どちらにも対応可能
    Webアプリケーション診断サービスは、通常はリモートにて対象サイトへの診断実施を行いますが、指定場所にご訪問の上、診断実施することも可能です。
Webアプリケーション診断(脆弱性診断)サービス特長

サービスの導入効果

  1. セキュリティ専門技術者の的確な診断により、セキュリティ対策の期間とコストを最適化
  2. 個人情報漏洩やそれに伴う損害賠償等のリスクを軽減
  3. お客様が運用するWebサイトについて、安全性を的確に把握し運営者の信頼アップ
  4. 独立した第三者による診断で、客観的に問題が指摘され、外部監査の報告としても有効

診断対象

会員向けサイト、ショッピングサイト、アンケートサイト、予約システム、オンラインバンキング、ネットトレーディング、ブログ、SNS、イーラーニング、スマートデバイス向けサイト
Webアプリケーション診断(脆弱性診断)診断対象

サービスの流れ

Webアプリケーション診断(脆弱性診断)サービスフロー

サービス実施内容

サービス項目 内容
診断項目 クロスサイトスクリプティング 悪意のあるスクリプトがWebアプリケーションを介して実行される危険性がないか検査します。
クロスサイトリクエストフォージェリ 意図しない別のWebサイト上で何かしらの操作(書き込み)が行われる危険性がないか検査します。
SQLインジェクション Webアプリケーションが想定しないSQL文を実行されることにより、データベースシステムを不正に操作される危険性がないか検査します。
OSコマンドインジェクション 外部からWebサーバのOSコマンドを不正に実行される危険性がないか検査します。
ディレクトリ・トラバーサル 通常アクセスできないファイルやフォルダが閲覧されてしまう危険性がないか検査します。
強制ブラウジング 公開されることを想定していないコンテンツが不正に使用される危険性がないか検査します。
認証機能/アクセス制御の不備 適切なログインを行うことなく、ログイン後のコンテンツにアクセスされる危険性がないか確認します。

サービスFAQ

料金の見積もりには何が必要でしょうか?
基本的には対象となるサイト(URL)を確認させていただきページ数やフォームの数などをもとにお見積いたします。開発中や外部公開が困難な場合は、スクリーンショットや画面遷移図を頂戴する場合がございます。また報告会、Q&A、再診断のご希望有無についても伺います。
どのような方法で診断を行いますか?
複数のツールによる診断とアナリストによる手動での診断を組み合わせて行います。リモート診断ではインターネット経由で行い、外部から接続できない環境の場合は当社持込診断PCをお客様ネットワークに接続しオンサイトで行います。
診断実施中に、緊急で対応が必要な脆弱性が見つかった場合は、その内容を通知することは可能でしょうか。
はい、速報という形で内容をご連絡させていただきます。
報告書はどのような内容になりますか?また、サンプルの提供は可能でしょうか。
報告書の内容については、サンプルレポートをご提供しております。ご希望の方は、お問い合わせフォームよりお申込みください。