3月 4
脆弱性診断サービス
脆弱性診断サービスについて
ねらい・効果
ITシステムの脆弱性を洗い出してそのリスクを評価することで、ITシステムとその利用者、すなわち貴社のビジネスとそのお客様にふりかかる脅威に対抗する適切かつ効果的な解決策を検討・選択していただくことをご支援いたします。
当社の強み
ITシステムの開発・保守運用、およびセキュリティの経験やノウハウを持った専門家チームが、貴社の課題やITシステムの特性を踏まえてスピーディな問題解決をご提案いたします。
メニュー
ITシステムの構成毎にメニューをご用意しています。
Webアプリケーション脆弱性診断サービス
セキュリティ対策までの道のり
適切なセキュリティ対策とは?
- 「脆弱性を減らす、なくす」…アプリケーションプログラムの改修、設定の見直し、
セキュリティパッチの適用など - 「攻撃を防ぐ」…IPS、IDS、UTM、、WAFの導入
- 「不測の事態に備える」…改ざん検知、セキュリティ監視
有料診断プラン
脆弱性診断ツールと専門の診断員による手操作での確認を組み合わせて、きめ細かく、深く診断をいたします。CMS、EC、ソーシャル、ゲーム、Webサービス(API)など幅広く対応いたします。
エコノミープラン | スタンダードプラン | エキスパートプラン | クイックプラン |
---|---|---|---|
はじめて診断を受診される方、大まかにリスクを把握されたい方向けのプランです。 | セキュリティ対策を実施し、サイトの安全性を高めたい方向けのプランです。 | システム開発サイクルまで踏み込んで、安全なWebサイトを実現させたい方向けのプランです。 | 検出された脆弱性を速やかに改修されたい方向けのプランです。 |
サービスの目的・狙い
脆弱性診断観点
以下のセキュリティ観点に基づいて、Webアプリケーションのリスクを評価しています。
- 【機密性】
個人情報や業務上の機密情報、システムの内部情報など一般に非公開にすべき情報が開示すべき範囲を超えて漏えいしないか? - 【完全性】
機能が想定外の動作を引き起こさないか?データが改ざん・破壊されないか? - 【可用性】
許可されない機能やデータにアクセスされないか?サービスの提供を妨害・停止させられないか?
脆弱性診断項目
以下の診断項目にしたがって、Webアプリケーションの脆弱性を洗い出します。
No. | 診断項目 | 主な脆弱性 |
---|---|---|
1 | 入出力 | SQLインジェクション、トラバーサル、XSS、価格改ざん |
2 | 機能 | CSRF、フロー制御 |
3 | セッション管理 | セッション固定攻撃、セッションIDの強度 |
4 | 認証認可管理 | 総当たり攻撃、認証の不備、アクセス制御の不備 |
5 | ユーザー管理 | パスワード変更、リマインダの推奨事項 |
6 | 情報 | 情報の取り扱いの不備 |
7 | 通信制御 | 通信の暗号化、サーバ証明書 |
8 | クライアント制御 | 画面設計、キャッシュ |
9 | サーバー設定 | サーバ設定、既知の脆弱性 |
10 | その他 | ポリシー |
※開発者視点で分類することにより、対策を実施される現場の方にセキュリティをしっかりお伝えしたいと考えています。
脆弱性診断サービスフロー
以下のサービスフローにしたがって脆弱性診断を進めてまいります。
診断作業の実施イメージ
診断作業の実施イメージを以下に示します。
対象システムへの疑似攻撃(診断手法)
ブラウザからサーバに送信されるHTTPリクエストを改ざんし、サーバ側プログラムが処理した結果返されるHTTPレスポンスの内容を確認することで、Webアプリケーションに内在する脆弱性の存在を検出します。
<
診断ツール
診断作業では、以下の診断ツールを使用します。
ローカルプロキシツール(Fiddler、Burp、ZAP)
専門の診断員が手操作で診断を実施するために使用します。
独自ツール(パターンスキャン)
カスタムアプリケーションの作りは一つ一つ異なり、人間による判断が必要な場合が多いため、専門の診断員が診て判断することに適した独自のツールを使用しています。
市販の脆弱性スキャナは使用していません。
AppScan、VEXなど市販ツールの使用は別途ご相談となります。
脆弱性診断結果のご報告
検出される主な脆弱性
- SQLインジェクション、OSコマンドインジェクション、ディレクトリトラバーサル
- クロスサイトスクリプティング、HTTPレスポンスヘッダインジェクション、オープンリダイレクタ
- クロスサイトリクエストフォージェリ
- セッションフィクセーション、セッションIDの強度不足
- ブルートフォース、認証機能の不備
- アクセス制御の不備
- 重要情報取り扱いの不備
主な報告事項
- リスク評価
- 脆弱性の解説
- 対策案・改善案
- 該当箇所
- 再現方法