Webアプリケーション診断について
あらゆるWebアプリケーション上に潜む脆弱性を調査・診断します。セキュリティエンジニアによる豊富な知見を駆使した手動診断に加え、Webアプリケーションに応じてカスタマイズしたツール診断にも柔軟に対応しています。診断項目はSQL・OSコマンド・XXEなどの各種インジェクション、認証機能、セッション管理などをフルカバーし、OWASP Top10などのセキュリティレポートに挙げられた項目を網羅的に診断することが可能です。
当社サービスの強みSTRENGTHS幅広い知見を有する
自社エンジニアが一貫して対応
Webアプリケーションに潜む脆弱性をつぶさに洗い出すためには、幅広く、かつ高度な知見と観点が必要とされます。当社には、Web開発やホワイトハッカー、次世代ファイヤウォール導入、アクセスログ解析などに精通したセキュリティエンジニアが集まり、脆弱性を網羅的に可視化・評価しています。そのすべてを自社エンジニアが一貫して行うため、高精度な品質を担保でき、他社では検知できなかった脆弱性も多数検出しています。手動診断はもちろん、ご希望の予算や納期に合わせてツールによる簡易診断にも対応します。
-
幅広い知見による
診断力 -
高精度な検出能力
-
柔軟な対応力
-
豊富な実績
経済産業省が定める
「情報セキュリティサービス基準」に適合
当社が提供するWebアプリケーション診断は、経済産業省が定める「情報セキュリティサービス基準」に適合していると認定されています。これによって、当社サービスが情報セキュリティに関する一定の技術要件および品質管理要件を満たし、品質の維持・向上に努めているサービスであることが示されています。
-
事前調査
仕様及び対象リクエスト数の調査を行います。確認したリクエスト数をもとにお見積りさせていただきます。
-
診断
診断リクエストの送信及び、エンジニアによる仕様チェックを行い脆弱性を調査します。
-
診断結果報告
診断結果を報告書にまとめお送りいたします。またオプションにて報告会対応も行っております。
-
再診断
報告後3カ月以内であれば、無料で再診断を実施させていただきます。
-
主な診断項目
主な診断項目は下記のとおりです。各種インジェクション(SQLインジェクション、OSコマンドインジェクション、XXEインジェクション、クロスサイトスクリプティング等)、認証機能の不備(認証回避、強制ブラウジング等)、認可制御の不備(権限昇格等)、セッション管理の不備(クロスサイトリクエストフォージェリ、セッションの固定化等)、仕様の不備(SSRF(サーバーサイドリクエストフォージェリ)、安全でないデシリアライゼーション、機能の悪用等)
-
OWASP Top10等
セキュリティレポートの項目に対応OWASP Top10や安全なWebサイトの作り方といったセキュリティレポートに記載の項目は全て網羅しております。また、PCI DSSやCVSS、CWE、NISTといった国際的な評価基準を用い脆弱性を評価しております。
-
ツールによる簡易診断も対応
ご予算やスケジュールに応じて、ツールのみで行う簡易診断も提供しております。ご希望の場合はお問合せ下さい。
-
構築中のためWebアプリケーションにアクセスできませんが、お見積りをお願いできますか?
仕様書や設計書等をご提供いただければ、机上ベースでのお見積りも可能です
-
事前に準備対応が必要ですか?
診断リクエスト送信により、セキュリティ機器のアラートが発生する場合がございます。また、お問合せ機能が対象に含まれている場合、診断により対象のお問合せ送信が実行されます。そのため、事前に診断を実施する旨ご共有いただき、診断元IPアドレスからのリクエストをアラート条件から除外するなど、ご対応をお願いいたします。
診断結果のサンプルレポート
診断結果をもとに、お客様専用のレポートを作成します。「検知した脆弱性」「脅威度」「脆弱性の再現方法」「対策方法」をわかりやすく記載し、ご報告します。
