1. HOME>
  2. ソフトウェア>
  3. セキュリティ診断サービス

セキュリティ診断サービス

Webサイトの脆弱性は日々発見されています。その数は、すでに数万種類と言われています。
これらの脆弱性は、ウイルス対策ソフトを使っても取り除くことができません。
例え駆除出来たとしても、対策を打たなければ、再び攻撃者の的になってしまう可能性があります。
診断を行い健康状態を把握することで対処方法がハッキリします。

まずは、Webサイトの健康診断、受けてみませんか?!

 

純国産の診断ツール(※1)を使ってセキュリティ診断をいたします。
さらに、必要なセキュリティ対策をご提案いたします。

※1 Vulnerability EXplorer(VEX):優れた脆弱性検出率と多彩なレポート機能を有する、純国産Webアプリケーション脆弱性検査ツール。

 

  • 経験豊富なコンサルタントによる精査
  • 経金融機関をはじめとする多数の診断実績(実績2,000サイト以上)
  • 経検出された問題、原因、対策をわかりやすく解説した報告書
  • 経多数のセキュリティ専門技術者が認める、高いぜい弱性検出率

 

優れた脆弱性検出率と多彩なレポート機能を有する、
純国産Webアプリケーション脆弱性検査サービスです。

①Webアプリケーション診断

会員登録やお問い合わせ、商品検索などの様々なサービス提供を実現するためのWebアプリケーションに対し、被害発生が想定されうる不具合(脆弱性)が存在しないか確認いたします。

診断対象となり得る箇所

会員登録機能、ログイン・ログアウト、決済機能、情報変更・削除機能、問合せ機能等

②ネットワーク診断

ネットワーク基盤の安全性を確認するため、ネットワーク上に配置されているサーバ群やネットワーク機器に対し、被害発生が想定されうる不備(脆弱性)が存在しないか確認いたします。

診断対象となり得る箇所

Webサーバの設定、メールサーバの設定やバージョン、DNSサーバの設定等

 

導入事例

ご利用形態 ご利用会社
■ 開発工程に利用
  単体テスト時に開発者自身で利用
・ポータルサイト運営会社
・口コミ系サイト運営会社
■ ユーザテストに利用
  リリース前の品質チェックで利用。
  簡易レポートの結果が全て「〇」未検出の結果をテスト合格の条件としている
・大手エネルギー会社
・人材紹介会社
・独立系システムインテグレータ
■ 運用保守に利用
  自社のWebサイトの定期検査に利用。
  公開後のアプリケーションの定期検査。
  修正追加機能のリリース前チェックに利用
・大手プロバイダ
・ユーザ系システムインテグレータ
 

診断サービスの流れ

 
 

診断サービスの概要

診断工数

サービス種別および診断対象のリクエスト数により異なります。

診断単位

サイト単位での診断となります。

成果物

診断結果報告書(サイト単位での報告書)

報告会

ゴールドプラス、ゴールド共に基本費用に含まれます。

サポート期間

・危険度の高い脆弱性を検出した際は、速報を提出
・報告会実施の場合:報告会実施後1ヶ月間、メールによるお問い合わせ
・報告会未実施の場合:報告書送付日から2週間、メールによるお問い合わせ
・改修完了後に再現確認診断を実施し、結果報告書を提出致します(オプション)

 

Webアプリケーション診断のサービス種別

診断項目 プラチナ ゴールドplus ゴールド
SQLインジェクション
(SQL Injection)
OSコマンドインジェクション
(OS Command Injection)
パラメータ操作
(Parameter Manipulation)
クロスサイトスクリプティング
(XSS)
Cookieの使用方法
(Insecure Cookie)
不要なエラーメッセージ
バッファオーバーフロー
(Buffer Overflow)
セッションフィクセーション
(Session Fixation)
クロスサイトリクエスト
フォージェリーズ(CSRF)
HTTPSの使用方法
(Insecure Protocol)
不要な情報
(Unnecessary Information)
不要なディレクトリ・ファイル
(Unnecessary Files)
サーバの設定ミス
(Misconfigured Server Setting)
プログラムの既知の脆弱性
(Known Vulnerability)
なりすましによる不正利用  
ログイン・ログアウト機能の妥当性  
権限詐称による情報閲覧  
強制閲覧
(Forceful Browsing)
 
不要なHTMLソースコメント
(Client Side Comment)
 
コンサルタントの経験による
サイト特性に応じた応用的な調査
   

プラチナ(手動)

・ゴールドの範囲を含む全ての項目に対して手動を軸とした診断
 ・業種及びサイト特性に合せ、応用的かつ複合条件で発生する問題への診断

ゴールドplus(VEX + 手動)

・ゴールドをベースに、セッション管理の評価などを手動にて実施
・独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが手動で結果精査を行います

ゴールド(VEX)

・独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが手動で結果精査を行います

ネットワーク診断のサービス項目

攻撃者の観点で疑似攻撃を行い、システム構成要素(インストールされているソフトウェア及び バージョン)、設定から被害につながる挙動があるか確認いたします。

種別 診断項目 診断内容
ネットワーク情報の取得 ポートスキャン サービス
使用OSの推測 使用ソフトウェアの検出
ホスト名の調査 情報収集
脆弱性の検出 POP(メールサーバ) 使用ソフトウェアの検出
SMTP(メールサーバ) 使用ソフトウェアの検出
VRFY調査、確認
不正リレー調査、確認
DNS 使用ソフトウェアの検出
再帰問合の調査、確認
FTP 使用ソフトウェアの検出
匿名アカウントによる接続
SSH 使用ソフトウェアの検出
認証方法の調査、確認
TELNET 使用ソフトウェアの検出
SUNRPC RPC情報取得
SNMP コミュニティ名の推測
MIB情報の取得
SMB アカウント情報の収集
ファイル共有状態の確認
NetBIOS情報の収集
NTP 使用ソフトウェアの検出
HTTP及びHTTPS 使用ソフトウェアの検出
SSLの強度調査、確認
不要なファイルの検出
不要なディレクトリの検出
WebDavとFrontPageの調査、確認
アプリケーションマッピング調査、確認
プロキシの不正利用調査、確認

報告書イメージ Webアプリケーション診断

 

報告書イメージ ネットワーク診断

 
 

詳しくはお問い合わせください。