【サービス紹介】脆弱性診断サービス Webアプリケーション脆弱性診

サービス内容

スピーディに現状を把握し、
対策方法を含めて提出させて頂きます。

Webサイトの規模にもよりますが、診断に必要な期間は、最短で約1週間となります。非常にスピーディにWebサイトの現状を把握することが可能です。
また、診断中に緊急で対応しなければならない脆弱性※1が発見された場合には、速報によりすみやかにご報告させて頂きます。
さらに診断終了後もご報告書をお渡しするだけでなく、お客様先にてオンサイトでご報告会を開催させて頂き、関係各位への詳細なご報告・Q&Aなど万全のサポート体制で対応させて頂きます。

※1 SQLインジェクションなどの深刻な脆弱性

ご提供するサービスは、「Standard(スタンダード)」と「Premium(プレミアム)」の2種類があります。
下記の各サービス内容を参考の上お選びください。

Webアプリケーション脆弱性診断 Standard(スタンダード)

ツールおよび手作業による疑似攻撃診断を行い対策方法をご報告させて頂く標準のサービスです。診断中に深刻な問題が発見された場合、対策を含めて即ご報告させて頂きます。
疑似攻撃する項目によってさらに3プランを選択頂けます。

  • ・簡易基準:5項目診断
  • ・IPA基準(※):22項目診断
  • ・経済産業省基準:31項目診断

Webアプリケーション脆弱性診断 Premium(プレミアム)

ツールおよび手作業による疑似攻撃診断、ソースコード診断Webサーバ診断を行い対策提案・ご報告させて頂くサービスです。診断中に深刻な問題が発見された場合、対策を含めて即ご報告させて頂きます。
経済産業省基準」の項目を疑似攻撃を行う事で信頼の高い診断を行う事が可能です。

  • ・経済産業省基準:31項目診断

※ IPA(独立行政法人情報処理推進機構)が発行する「安全なウェブサイトの作り方」(http://www.ipa.go.jp/security/vuln/websecurity.html)に記載されている脆弱性について調査致します。ただし、外部からの診断では判別できない問題、ウェブサイトの内部的な運用に関わる問題につきましては対象外としております。


  • 資料請求
  • お問い合わせ・お申込
  • お見積もり依頼

導入の流れ


  • 資料請求
  • お問い合わせ・お申込
  • お見積もり依頼

仕様・価格

サービス Standard Premium
簡易基準
(5項目診断)
IPA基準
(22項目診断)
経済産業省基準
(31項目診断)
経済産業省基準
(31項目診断)
マニュアル脆弱性診断 5項目 22項目 31項目 31項目
ソースコード診断
Webサーバ診断
報告 レポート
速報
対策方法
出張報告会
価格
(1アプリケーション)
30万円~ 60万円~ 80万円~ 120万円~
納品 診断開始から1~2週間(サイト規模により変動)

【マニュアル脆弱性診断】 … ツールおよび手動による疑似攻撃診断のうえ脆弱性を見つける診断。
【ソースコード診断】 … ソースコードの人的診断
【Webサーバ診断】 … Webサーバの設定ファイル等の人的診断
【レポート】 … 問題点をレポートで提出。「コンサルティングレポート」と「簡易レポート」の2種類からお選びいただけます。各レポートの詳細についてはお問い合わせ下さい。
【速報】 … 診断中に深刻な問題が発見された場合、対策を含めて即ご報告
【対策方法】 … 診断及び段階的な対策をご提案ご報告
【出張報告会】 … オンサイトにてご報告会を実施

【疑似攻撃診断項目】

認証 Authentication

認証を使用しているウェブサイトで適切に認証が実施されているか診断を行います。

診断内容脆弱性が存在することによって被る被害5項目22項目31項目
総当たり攻撃
(Brute Force)
IDやパスワードが簡単に推測可能であり、管理者や他のユーザに成りすまされてしまいます。 
不適切な認証
(Insufficient Authentication)
正常なログイン処理を介さずにログイン後の画面にアクセスされてしまうため、成りすましや情報漏えいの危険性があります。 
もろいパスワード復元の検証
(Weak Password Recovery Validation)
ユーザがパスワードを忘れた際の回復方法に問題があり、パスワードの情報が外部に漏えいしてしまいます。 

承認 Authorization

認証後のセッション管理に問題が無いか診断を行います。

診断内容脆弱性が存在することによって被る被害5項目22項目31項目
セッションの推測
(Session Prediction)
セッション情報が推測しやすい値の場合、攻撃者は正しい値を推測し、管理者やユーザに成りすますことができます。 
不適切な承認
(Insufficient Authorization)
承認が不適切だと、アクセス権限の高いコンテンツや機能へのアクセスを認めてしまいます。これにより、攻撃者が他のユーザや管理者に成りすます危険性があります。 
不適切なセッション期限
(Insufficient Session Expiration)
セッション期限が不適切である場合、ユーザのセッション情報を盗用しやすくなり、攻撃者が管理者やユーザに成りすますことができます。 
セッションの固定
(Session Fixation)
攻撃者が任意のセッション情報を使って管理者やユーザに成りすますことができます。 
セッションの盗難
(Session Hijack)
SSL等を使用して暗号化をしていない場合、攻撃者はセッション情報を容易に取得することができ、管理者やユーザに成りすますことができます。 

クライアント側での攻撃 Client-side Attacks

クライアント側から行われる攻撃に対する診断を行います。

診断内容脆弱性が存在することによって被る被害5項目22項目31項目
コンテンツの詐称
(Content Spoofing)
偽のコンテンツをあたかも正式なものであるかのように装ってウェブサイトに表示し、ユーザを欺きます。これにより、パスワードを抜き取られたり、フィッシング詐欺サイトへ誘導されたりする危険性があります。 
クロス・サイト・トレーシング
(Cross Site Tracing)
ウェブのヘッダ情報を不正に読み出されてしまいます。これにより、他の脆弱性を利用して管理者や他のユーザに成りすまされてしまいます。 
クロス・サイト・スクリプティング
(Cross Site Scripting (XSS))
サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。
クロス・サイト・リクエスト・フォージェリ
(Cross Site Request Forgery(CSRF))
サイトをまたがって不正な要求を送り、ユーザが意図していない操作を実行させられてしまいます。例えば、ユーザが意図しないままオンラインショップで買い物をさせられたりしてしまいます。 
クリックジャッキング
(ClickJacking)
ログインしているユーザ向けに提供されている機能のうち、マウス操作のみで実行可能な機能をユーザは意図せず実行させられてしまいます。 

コマンドの実行 Command Execution

コマンド実行により行われる攻撃に対する診断を行います。

診断内容脆弱性が存在することによって被る被害5項目22項目31項目
バッファ・オーバフロー
(Buffer Overflow)
アプリケーションの予期しないデータを送り、アプリケーションを異常終了させられてしまいます。これにより、ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。 
書式文字列攻撃
(Format String Attack)
入力された文字列を書式加工する際にプログラムをクラッシュさせたり、不正なコードを実行させられてしまいます。これにより、ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。  
LDAPインジェクション
(LDAP Injection)
LDAPコマンドを不正に使用されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。  
OSのコマンド実行
(OS Commanding)
サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。
SQLインジェクション
(SQL Injection)
DBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。
SSIインジェクション
(SSI Injection)
SSIコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。  
XMLインジェクション
(XML Injection)
XMLデータにスクリプト等を混入して攻撃されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。  
パラメータ改ざん
(Parameter Manipulation)
パラメータを不正に改ざんされてしまいます。その結果、管理者や他のユーザに成りすまされてしまいます。 
スクリプトの実行
(Script Execution)
許可していないスクリプトを実行されてしまうため、情報の漏えいやウェブサイトの改ざんを許してしまいます。  

情報漏洩 Information Leakage

ウェブサーバから情報が漏えいする可能性が無いか診断を行います。

診断内容脆弱性が存在することによって被る被害5項目22項目31項目
ディレクトリ・
インデックシング
(Directory Indexing)
ウェブサーバ内のファイルを閲覧されることにより、ウェブサーバ攻撃の足がかりとされてしまいます。 
情報漏洩
(Information Leakage)
ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。
パスの切り換え
(Path Traversal)
ウェブブラウザのアドレスバーやファイル名を指定するパラメータなどの箇所から任意のパスを受け付けてしまうため、機密情報などが保管されているパスを指定されることにより情報漏えいにつながります。 
推測可能なリソースの位置
(Predictable Resource Location)
フォルダ名やファイル名が推測可能な簡単な名称になっているなど、内部のリソースの配置が推測可能な場合、重要な情報や機能が外部に漏えいする危険性があります。 
ウェブサーバ・
アプリケーションの特定
(Fingerprinting)
ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。 

ロジックを狙った攻撃 Logical Attacks

ウェブサーバやウェブアプリケーションの持つ機能を狙った攻撃が可能か診断を行います。

診断内容脆弱性が存在することによって被る被害5項目22項目31項目
機能の悪用
(Abuse of Functionality)
ウェブサーバ、ウェブアプリケーションの持つ機能を不正に実行されてしまいます。その結果、SPAM(メールを大量配信すること)の中継地点に使われるなど、悪用されてしまいます。 
サービス拒否
(Denial of Service)
ウェブサーバのサービスを停止、もしくは低下させられてしまいます。※  
自動化の停止が不適切
(Insufficient Anti-automation)
ロボットなどによるウェブサーバへの連続攻撃を受け、正しいIDやパスワードを探られたり、ウェブサーバに負荷をかけられたりしてしまいます。  
不適切なプロセス検証
(Insufficient Process Validation)
正常な画面遷移を無視して特定の画面にアクセスされてしまうため、成りすましや情報漏えいの危険性があります。  

その他

診断内容脆弱性が存在することによって被る被害5項目22項目31項目
その他上記以外の問題が見つかった場合ご報告させていただきます。

※OS・サーバ等のバージョンの脆弱性に対し診断を実施します。ツールを用いた診断は、別途オプションにて対応致します。

  • 資料請求
  • お問い合わせ・お申込
  • お見積もり依頼