有効かつ効果的な対策をお探しの方必見!

WEBアプリケーション
脆弱性診断サービス

WEBアプリケーションの脆弱性について診断いたします

オンラインでお客様のWebサイトに対して疑似攻撃診断を実施し、洗い出された脆弱性を分析しお客様へレポートとして報告いたします。

WEBアプリケーションの脆弱性除去についてアドバイスいたします

脆弱性を除去するための設計の⾒直し、アプリケーション改修⽅法など、 ハッカーからの攻撃に耐えうる強固なアプリケーション構築のアドバイス、サポートをいたします。 洗い出された脆弱性を分析しお客様へレポートとして報告いたします。

万全のチーム体制&
各種セキュリティ指標に準拠

万全のチーム体制

情報処理安全確保⽀援⼠の資格取得者を要する、最⾼技術レベルのチーム体制。

各種セキュリティ指標に準拠

経済産業省「情報システム・モデル取引・契約書」の重要事項説明書およびセキュリティチェック シートにサービス内容を完全適合させた、唯一のサービスです。IPAが発表している「安全なWebサイトの作り方」にも準拠しております。

スピード診断
診断中の緊急時にも速報で対応

診断に必要な期間は、最短で約1週間

Webサイトの規模にもよりますが、⾮常にスピーディにWebサイトの現状を把握することが可能です。

速報対応

診断中に緊急で対応しなければならない脆弱性(Level1相当の脆弱性)が発⾒された場合には、速報によりすみやかにご報告させて頂きます。

オンサイト報告

診断終了後も、ご報告書をお渡しするだけでなく、お客様先にてオンサイトでご報告会を開催させて頂き、関係各位への詳細なご報告、Q&Aなど、万全のサポート体制で対応させて頂きます。

               

豊富な導入事例

再春館製薬所(国内EC、海外ECはじめグループ関連サイトなど)

総合アパレルファッション企業様

診断対象サイト:ブランドサイト(30サイト)、採⽤サイト

⼤⼿製造業企業様

診断対象サイト:各事業部毎の⾒積依頼、問合せBtoBサイト

財務会計ソフト開発、販売企業様

診断対象サイト:コーポレートサイト、経営情報サイト、ビジネスノウハウ共有サイト(国内利⽤者数最⼤級)

クロスメディアマーケティング企業様

診断対象サイト:ファイル転送サービスサイト(国内利⽤者数最⼤級)、料理レシピ検索サイト

               

・・・など多数

大きな被害を受ける前に、
有効な対策準備をするなら

無料相談・お問い合わせはこちら

なぜアプリケーション診断が必要なのか?

主なWebアプリケーションへの攻撃⼿法

  • ● SQLインジェクション
  • ● OSコマンドインジェクション
  • ● バッファ・オーバーフロー
  • ● ディレクトリトラバーサル
  • ● セッションハイジャック
  • ● ヘッダインジェクション
  • ● クロスサイトスクリプティング(XSS)
  • ● クロスサイトリクエストフォージェリー(CSRF)
    など。

ハッカーからの攻撃で被害が発生する

  • ● 機微情報の漏えい
    • ・クレジットカード番号
    • ・個⼈情報
    • ・社外秘情報
    • ・アカウント/パスワードの漏えい
  • ● マルウェアを埋め込まれる
  • ● Webサイト改ざん
  • ● サーバへの不正侵⼊
  • ● なりすましログイン
    など。

ご提供の流れ

  • ・機密保持契約/各種情報のお預かり
  • ・対象サイトの確認
  • ・診断プラン決定→お見積り→サービスお申し込み
  • ・診断内容項⽬の確定
  • ・対象サイトの診断⽇時の調整確定
  • ・問題発⽣時の連絡体制確定

脆弱性診断項目に従い、診断実施
・対象サイトの擬似攻撃によるWEBアプリケーション脆弱診断
・ソース解析による診断
(プランにより異なる場合あり)
※深刻な問題が発⾒された場合、速報として報告

  • ・診断結果を報告書にまとめる
  • ・報告会にて、脆弱性の有無の診断結果と、脆弱性除去のアドバイスをご報告。
  • ・診断報告書を納品。
  • ・プログラム改修後、再診断範囲・内容の確定
  • ・対象サイトの再診断⽇時の調整確定
  • ・再診断実施

大きな被害を受ける前に、
有効な対策準備をするなら

無料相談・お問い合わせはこちら

診断項目(抜粋)

  • XSS

    WEBサイトのコンテンツ提供側が意図しないスクリプトが実行させられてしまう脆弱性。例えば、掲示板のリンクをクリックした際に、そのサイトに存在しないスクリプトが利用者のブラウザで実行される。攻撃者の用意したスクリプトが実行されることで、フィッシング詐欺に利用されたり、環境変数情報が搾取されるなどの問題に発展します。

  • SQLインジェクション

    Webサイトのコンテンツ提供側が意図しないSQL文が、実行させられてしまう脆弱性。これにより、データベースの情報が漏洩したり、バックドアが書き込まれるなどの問題に発展します。

  • CRLFインジェクション

    入力フォームなどの入力値に改行コードを紛れさせることで、改行コードの後ろに別の項目を進入させることができる脆弱性。メールのヘッダの値の処理の問題を悪用することで、第三者への不正なメール送信に悪用されます。

  • Server Side Code Injection

    入力フォームなど、利用者から送られた値が適切に評価されず、攻撃者から送られた攻撃コードが実行されてしまう脆弱性。このような脆弱性は、サイトの改竄やバックドアの設置、サイトの乗っ取りなどの重大な問題点につながる可能性があります。

  • SSIインジェクション

    入力フォームなど、利用者から送られた値が適切に評価されず、攻撃者から送られた悪意あるSSIコマンドが実行される脆弱性。これにより、外部からのOSのコマンドを実行したり、ファイルの閲覧が可能になるという問題点に発展する可能性があります。

  • バッファオーバーフロー

    入力フォームやパラメータ値などに大きな入力データを送り込むことで、プログラムが確保したメモリサイズを溢れさせ、予期せぬ動作を引き起こす脆弱性のこと。これにより、サービスの停止を引き起こしたり、メモリダンプを発生させてダンプファイルの中から、パスワード情報を解析するなどの問題に発展する可能性があります。

  • パラメータ改竄

    アプリケーションがURLパラメータやhidden、Cookieなどに入れた値が適切に評価されず、値を書き換えてサーバにお売り返す攻撃のことで、これにより改竄や他人へのなりすまし攻撃を受ける可能性があります。

  • OSコマンドインジェクション

    閲覧者からのデータの入力や操作を受け付けるようなWEBサイトで、プログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて、不正に操作する攻撃のこと。

  • 書式文字列攻撃

    書式指定のある関数で、利用者が入力した文字列をそのまま書式文字列として利用する場合に発生する脆弱性。攻撃者が%sや%xといった書式文字列を使い、メモリ位置の内容をデータとして出力させたり、任意のアドレス位置に任意のデータを書き込ませたりすることができる可能性があります。

  • ディレクトリトラバーサル

    ネットワーク上の脆弱性を利用した攻撃手法の一種で、「../」を利用してディレクトリを遡るなどして、本来はアクセスが禁止されているディレクトリにアクセスする手法。または、そのような脆弱性のこと。

  • リモートファイルインクルージョン

    スクリプト言語には、ソースの一部に別ファイルを読み込む機能があり、読み込まれるファイルを外部から指定できる場合、アプリケーションが意図しないファイルを指定することにより、脆弱性が発生する場合があります。

 

報告アウトプットイメージ

貴社に必要な情報セキュリティ対策が何か、
上記の診断項目に則して貴社ホームページや公開サーバにおける安全性を確認し、
脆弱性(弱さ)を洗い出し、必要な情報セキュリティ対策をご提案いたします。

料金体系

  • WEBアプリケーション脆弱性診断

    66万円(税込)〜

  • 速報

    11万円(税込)

  • 報告会開催

    11万円(税込)

※サービス価格は、サイトの動的機能数・構成の複雑さによって異なります。
※対象サイトおよび、事前情報を頂いた後に正式⾒積りさせて頂きます。

その他のセキュリティサービス

  • OSSシステム診断

         

    OSSを利用される際は、脆弱性があったとしても使用者でそのリスクを担保する必要があります。 OSSの最新バージョンでの診断やカスタマイズされた箇所の診断を実施します。

  • インフラシステム診断

    ご利用のサーバやネットワーク機器について、安全に運用されているか、診断を行います。

  • スマートフォン診断

    スマートフォンのサーバーおよびアプリケーションについて診断を行います。アプリケーションの診断の場合は、当該アプリケーションをご提供いただき、診断環境にインストールして診断を実施します。

  • 海外WEB診断

    海外WEBサイトおよび海外拠点の企業様からのWEB診断もご対応いたします。診断結果の報告会は、ビデオ会議などを使用して実施します。

  • WEB定期診断

    ECサイトなど、常に新しいキャンペーンを実施するようなwebサイトの改定が頻繁に行われるサイトは、定期的に脆弱性が作り込まれていないか診断し、常に健全なシステムを維持する必要がございます。

  • WAFソリューション

    危険なハッカー(攻撃者)からの不正な攻撃を検知し、ブロックするweb Application FireWallを導入することにより、さらに強固なセキュリティを確保することができます。
    当社のSOC(security Operation Center)サービスにも対応

大きな被害を受ける前に、
有効な対策準備をするなら

無料相談・お問い合わせはこちら