有効かつ効果的な対策をお探しの方必見!
脆弱性診断サービス
(Webアプリケーション/API)
Webアプリケーション脆弱性診断
Webアプリケーション脆弱性診断では、お客様のWebサイトに対して診断を実施し、洗い出された脆弱性を分析しお客様へレポートとして報告いたします。
手作業によるマニュアル診断のほかにも、低価格・短納期でご提供可能なツール診断によるライトプランをご用意しております。
API脆弱性診断
API脆弱性診断では、スマートフォンアプリなどで用いられるAPIに対して診断を実施し、洗い出された脆弱性を分析しお客様へレポートとして報告いたします。
なぜ脆弱性診断が必要なのか?
システム開発において間違えたプログラムを組んでしまい、期待とは異なる結果になったり、途中で止まるなど意図しない動作をすることがあります。これをプログラムの「バグ」と呼びますが、バグの中には悪用することで情報漏えいを起こしたり、データの不正な書き換えを起こしたりすることがあります。このような悪用可能なバグを「脆弱性」と呼びます。有名な脆弱性として以下のようなものがあります。
主なWebアプリケーションへの攻撃⼿法
- ● SQLインジェクション
- ● OSコマンドインジェクション
- ● バッファ・オーバーフロー
- ● ディレクトリトラバーサル
- ● セッションハイジャック
- ● ヘッダインジェクション
- ● クロスサイトスクリプティング(XSS)
- ● クロスサイトリクエストフォージェリー(CSRF)
など。
脆弱性を放置したままにしていると、ハッカーからの攻撃にそれらの脆弱性を悪用されて、以下に記したさまざまな被害が発生し、金銭的な損失や会社の社会的な信用失墜に繋がりかねません。
ハッカーからの攻撃で被害が発生する
-
● 機微情報の漏えい
- ・クレジットカード番号
- ・個人情報
- ・社外秘情報
- ・アカウント/パスワードの漏えい
- ● マルウェアを埋め込まれる
- ● Webサイト改ざん
- ● サーバへの不正侵⼊
- ● なりすましログイン
など。
万全のチーム体制&
各種セキュリティ指標に準拠
万全のチーム体制
弊社では、情報処理安全確保支援士やSecuriST認定Webアプリケーション脆弱性診断士の資格取得者など、最高技術レベルのチーム体制を有しております。
診断に必要な期間は、最短で約1週間
Webサイトの規模やAPI本数などにもよりますが、非常にスピーディに現状を把握することが可能です。
速報対応
脆弱性診断作業中に緊急度の高い脆弱性が発見された場合には、 速報という形で速やかにご報告いたします。
オンサイト報告
診断終了後も、ご報告書をお渡しするだけでなく、お客様先にてオンサイトでご報告会を開催させて頂き、関係各位への詳細なご報告、Q&Aなど、万全のサポート体制で対応させて頂きます。
豊富な導入事例
再春館製薬所(国内EC、海外ECはじめグループ関連サイトなど)
総合アパレルファッション企業様
診断対象:ブランドサイト(30サイト)、採用サイト
大手製造業企業様
診断対象:各事業部毎の⾒積依頼、問合せBtoBサイト
ベビー用品メーカー企業様
診断対象:ユーザー向けスマホアプリ用API
気象防災情報提供企業様
診断対象:波浪予測サイト
・・・など多数
大きな被害を受ける前に、
有効な対策準備をするなら
ご提供の流れ
- ・機密保持契約/各種情報のお預かり
- ・対象サイトの確認
- ・診断プラン決定→お見積り→サービスお申し込み
- ・診断内容項⽬の確定
- ・対象サイトの診断⽇時の調整確定
- ・問題発⽣時の連絡体制確定
・脆弱性診断項目に従い、診断実施
・対象サイトの擬似攻撃によるWEBアプリケーション脆弱診断
・診断結果報告書の作成
- ・報告会(脆弱性有無の診断結果と脆弱性除去のアドバイス)
- ・診断結果報告書を納品
- ・プログラム改修後の再診断範囲・内容の確定
- ・対象サイトの再診断⽇時の調整確定
- ・再診断実施
診断項目(抜粋)
-
XSS
- WEBサイトのコンテンツ提供側が意図しないスクリプトが実行させられてしまう脆弱性。例えば、掲示板のリンクをクリックした際に、そのサイトに存在しないスクリプトが利用者のブラウザで実行される。攻撃者の用意したスクリプトが実行されることで、フィッシング詐欺に利用されたり、環境変数情報が搾取されるなどの問題に発展します。
-
SQLインジェクション
- Webサイトのコンテンツ提供側が意図しないSQL文が、実行させられてしまう脆弱性。これにより、データベースの情報が漏洩したり、バックドアが書き込まれるなどの問題に発展します。
-
OSコマンドインジェクション
- 閲覧者からのデータの入力や操作を受け付けるようなWEBサイトで、プログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて、不正に操作する攻撃のこと。
-
CRLFインジェクション
- 入力フォームなどの入力値に改行コードを紛れさせることで、改行コードの後ろに別の項目を進入させることができる脆弱性。メールのヘッダの値の処理の問題を悪用することで、第三者への不正なメール送信に悪用されます。
-
パラメータ改竄
- アプリケーションがURLパラメータやhidden、Cookieなどに入れた値が適切に評価されず、値を書き換えてサーバにお売り返す攻撃のことで、これにより改竄や他人へのなりすまし攻撃を受ける可能性があります。
-
ディレクトリトラバーサル
- ネットワーク上の脆弱性を利用した攻撃手法の一種で、「../」を利用してディレクトリを遡るなどして、本来はアクセスが禁止されているディレクトリにアクセスする手法。または、そのような脆弱性のこと。
Web脆弱性診断ライトプラン
(ツールによる自動診断)
について
Web脆弱性診断について、以下のようなお悩みはありませんか?
- ・診断したいけど費用が高額
- ・会社HPなどの個人情報を取り扱っていないサイトを安価に診断したい
- ・主要な脆弱性を短期間でチェックしたい
そのようなお悩みにこたえるべく、「Web脆弱性診断ライトプラン」をご用意いたしました。
- ・ツールによる自動診断を行います
- ・ログイン認証にも対応しております
- ・SQLインジェクション、XSSといった
主要な脆弱性を中心にチェック可能です - ・検査結果をレポートにて提出いたします。
- ・1Webサイトにつき 300,000円(税別)で診断いたします。
(注意事項)
- ※会社HPなど、個人情報を取り扱わないWebサイト向きのサービスです。個人情報を取り扱うECサイトなどは手動診断をお勧めしております。
- ※診断対象サイトの規模によりますが、診断開始からレポート提出まで およそ1週間から10日程度かかる見込みです。
- ※Webアプリケーションのみ診断可能です。(APIは診断不可)
- ※インターネット経由でアクセスできないWebサイトは診断できません。アクセス制限のあるWebサイトについては、
ツールの送信元IPアドレス許可設定をして頂く必要がございます。 - ※診断前にWebサイトの所有者確認が必要です。(お客様管理Webサイトかを確認できない場合は診断できません)
所有者確認方法についてはWEBサーバの公開ディレクトリに認証用ファイルの配置をお願いしております。 - ※ツールで検知した脆弱性の精査(誤検知判定)や、修正方法のアドバイザリは提供しておりません。
- ※認証が必要なWebサイトについては、ログイン操作を記録できない場合は診断できません。(Chromeの拡張機能を使用します)
- ※Webアプリケーションで使用する全てのFQDNを登録する必要がございます。(未登録FQDNが存在すると自動巡回時にエラーになることがございます)
その他のセキュリティサービス
-
スマホアプリ診断
スマホアプリについて診断を行います。診断対象となるアプリケーションをご提供いただき、診断環境にインストールして診断を実施します。
-
プラットフォーム診断
ご利用のサーバのOSやネットワークについて、不要な設定が無いか、脆弱性のあるOSのバージョンを利用していないか診断を行います。
-
AWSセキュリティ設定診断
利便性が高いAWS(アマゾンウェブサービス)を利用する事業者を対象に、その設定が正しいか否かを、セキュリティの専門家目線でチェックするサービスです。
-
WAFソリューション
危険なハッカー(攻撃者)からの不正な攻撃を検知し、ブロックするWAF(Web Application Firewall)を導入することにより、さらに強固なセキュリティを確保することができます。
当社のSOC(security Operation Center)サービスにも対応 -
DeepSecurity+SOC
サーバ保護に必要なIPS/IDSやファイアウォール、ファイルやレジストリなどの変更監視、セキュリティログ監視、ウィルス対策などの機能を備えたDeepSecurityの導入と、SOCによるアラート監視を行うサービスです。
大きな被害を受ける前に、
有効な対策準備をするなら