Webアプリケーション脆弱性診断とは
Webサイトにおけるコンテンツ層に対して、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い(ブラックボックステスト) 、脆弱性の有無と対策手段を明らかにし、レポートにまとめてご報告するサービスです。診断中に深刻な脆弱性が発見された場合は、対策を含めて即ご報告致します。
サービスの特長
世界基準かつ経産省準拠の高い客観性のサービス
クレジットカード・セキュリティガイドライン第6.0版対応「ECサイト加盟店様向け第三者チェックサービス」もご用意
マニュアルによる丁寧な検証
制作ベンダゆえのノウハウと丁寧なレポート
1000サイト以上の豊富な導入実績
サービスご提供イメージ
主な診断項目
| 診断項目 | 左記脆弱性が存在することによって被る被害例 |
| 総当たり攻撃 Brute Force | IDやパスワードが簡単に推測可能であり、管理者や他のユーザに成りすまされてしまいます。 |
| もろいパスワード復元の検証 Weak Password Recovery Validation | ユーザがパスワードを忘れた際の回復方法に問題があり、パスワードの情報が外部に漏えいしてしまいます。 |
| セッションの推測 Session Prediction | セッション情報が推測しやすい値の場合、攻撃者は正しい値を推測し、管理者やユーザに成りすますことができます。 |
| 不適切な承認 Insufficient Session Expiration | 承認が不適切だと、アクセス権限の高いコンテンツや機能へのアクセスを認めてしまいます。これにより、攻撃者が他のユーザや管理者に成りすます危険性があります。 |
| コンテンツの詐称 Content Spoofing | 偽のコンテンツをあたかも正式なものであるかのように装ってウェブサイトに表示し、ユーザを欺きます。これにより、パスワードを抜き取られたり、フィッシング詐欺サイトへ誘導されたりする危険性があります。 |
| クロスサイト スクリプティング Cross Site Scripting (XSS) | サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。 |
| OS のコマンド実行 OS Commanding | サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 |
| SQL インジェクション SQL Injection | DBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります |
| 情報漏洩 Information Leakage | ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。 |
| ウェブサーバ・ アプリケーションの特定 Fingerprinting | ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。 |
| 機能の悪用 Abuse of Functionality | ウェブサーバ、ウェブアプリケーションの持つ機能を不正に実行されてしまいます。その結果、SPAM(メールを大量配信すること)の中継地点に使われるなど、悪用されてしまいます。 |
\ EC加盟店様向け第三者チェックサービスご提供開始! /
クレジットカード・セキュリティガイドライン 第6.0版対応
「ECサイトのセキュリティ対策実施状況申告書」の準拠状況についてのチェックサービスもご案内可能です。
お気軽にお問い合わせください。
成果物サンプル
サービスの特長
高い客観性のサービス
高度認定資格であるGIAC資格などの取得者を要する、最高技術レベルのチーム体制。ご提供するサービスはIPAが発表している「安全なWebサイトの作り方」などをベースとした「スタンダードプラン(22項目診断)」と「アドバンスドプラン(31項目診断)」、加えて、クレジットカード・セキュリティガイドライン第6.0版対応「EC加盟店様向け第三者チェックサービス」がございます。
マニュアルによる丁寧な検証
ツールだけのレポートではないマニュアル診断を実施しています。1機能ごと診断した結果を診断員が実際に検証し、真の脆弱性かどうかを判断しています。また問題箇所は実際のキャプチャーを報告資料に明示しますので、一目で脆弱性が理解出来ます。
制作ベンダゆえのノウハウと
丁寧なレポート
実際にサイトを数多く制作してきた開発ベンダゆえのノウハウがあります。診断結果を分かりやすく図解したレポートを作成し、Webサイトの現状と問題点をご報告いたします。さらに、問題箇所を分かりやすく解説し、脆弱性の対策についてもご提案致します。解説については、すべて弊社セキュリティチームメンバーが記述しますので、ツールが自動的に生成した説明とは、分かりやすさが違います。
1000サイト以上の豊富な導入実績
業界としていち早く診断サービスを立ち上げ、多種多様な業界と規模のWebサイトの診断を実施してきました。診断実績数は1000サイト以上と豊富な実績がございますので、安心してご依頼ください。
導入の流れ
- 機密保持契約の締結、情報提供
- お見積
- ご発注
- 診断スケジュール調整
- ヒアリングシートのご確認、ご記入
- 診断
- 深刻な問題が発見された場合は速報のご提出
- 報告書作成および納品
- オンライン報告会にて結果をご報告
- オプションで再診断をお申込みいただいている場合、スケジュール調整の上実施
\ EC加盟店様向け第三者チェックサービスご提供開始! /
クレジットカード・セキュリティガイドライン 第6.0版対応
「ECサイトのセキュリティ対策実施状況申告書」の準拠状況についてのチェックサービスもご案内可能です。
お気軽にお問い合わせください。
画面数による概算見積
画面数ごとの概算費用については下記をご参考ください。
| 画面数 | 10 画面 | 30 画面 | 50 画面 |
| スタンダードプラン(22項目診断)の場合 | 77 万円 | 176 万円 | 275 万円 |
| アドバンスドプラン(31項目診断)の場合 | 88 万円 | 198 万円 | 308 万円 |
| 再診断(オプション) | 初回診断価格の 3 割 | ||
- 例)スタンダードプランで、10画面のサイト、再診断のオプションを含める場合
77 万円(基本料金)+ 23.1万円(再診断)=100.1 万円
関連サービス
ブログ
-
ツール診断と専門家診断、どう使い分ける?メリット・デメリットを整理【セキュア開発技術Blog】
「自社でセキュリティ診断を実施してみよう」と思ったとき、こんな疑問を持ったことはありませんか? 脆弱性診断ツールって、どこまで見てくれるのだろう? 脆弱性診断ツールがあるなら、専門家に頼む必要はないのでは? そもそも自社に診断ツールは必要な… -
セキュリティ対策内製化の第一歩!セキュア開発につながる脆弱性診断トレーニング(10/28開催)
開発チームが自ら脆弱性を理解し、改善できるスキルはセキュアなシステム開発を推進する上で欠かせません。弊社神戸デジタル・ラボ(以下KDL)では脆弱性診断を内製化し、お客様向けに開発したシステムに対して、脆弱性診断を実施しています。この診断を内… -
セキュアな開発を支えるチェックリストと、ツールでは見えない落とし穴~開発したシステムは本当にセキュアなのか?(アーカイブあり)
※本セミナーは終了しました セキュリティを意識した開発は大切だと分かっていても、「どこまで対策すればいいのか分からない」「確認すべきことが曖昧」と感じたことはありませんか? 神戸デジタル・ラボ(KDL)では、そうした声をきっかけに、社内の開発…
