Webアプリケーション脆弱性診断サービス

Webアプリケーション脆弱性診断とは

Webサイトにおけるコンテンツ層に対して、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い（ブラックボックステスト）、脆弱性の有無と対策手段を明らかにし、レポートにまとめてご報告するサービスです。診断中に深刻な脆弱性が発見された場合は、対策を含めて即ご報告致します。ProactiveDefense の Webアプリケーション脆弱性診断は、EC事業、社会インフラ事業、SaaSサービス、製造業など、多種多様な業界でご利用いただいています。

サービスの特長

　豊富な導入実績と多種多様な業界システムに対応

　クレジットカード・セキュリティガイドライン第6.0版対応「ECサイト加盟店様向け第三者チェックサービス」もご用意

　マニュアルによる丁寧な検証

こんなお客様にご利用いただいてます

ECサービス
- 新機能リリース前に安全性を確認したい
- 不正ログイン対策や決済領域の脆弱性を把握したい
- 利用者規模が大きく、サービス停止につながるリスクを早期に発見したい
SaaSサービス
- 顧客企業からのセキュリティチェックリスト提出に対応したい
- 第三者診断の実施が取引条件となっている
- 新規契約や大企業との取引に向け、信頼性を向上させたい
社会インフラ領域
- 高い信頼性が求められ、定期的な第三者診断が必須
- 運用停止リスクを最小化するため、事前に脆弱性を把握したい
- 国や業界ガイドラインに沿ったセキュリティ対策を求められている
製造業（IoTシステム）
- IoTデバイスとクラウド連携するシステムのリスクを把握したい
- 運用前に、APIや監視画面の安全性を確認したい
- 業務への影響を避けるため、早期に潜在的な脆弱性を発見したい

業界別診断ニーズへの対応事例

ECサービス
ECモール出展企業向けの各種Webサービスに対し、認証・決済・データ管理など不正利用リスクの高い領域を中心に診断を実施。大規模利用が前提となるサービス運用における安全性向上を支援しています。EC加盟店様向けクレジットカード・セキュリティガイドライン第6版対応の第三者チェックもご提供可能です。
SaaSサービス
顧客企業のセキュリティチェックリストに対応するため、「第三者による脆弱性診断」を必要とするケースが増加。取引先提出用レポートとして利用できる診断結果を提供し、サービスの信頼性確保に貢献しています。
社会インフラ領域
社会システムの一部を担うWebサービスに対し、高い信頼性が求められる運用要件に即した精密な診断を実施。停止が許されないシステムのリスク把握とセキュリティ強化を支援しています。
製造業（IoTシステム）
IoTデバイスとクラウドが連携する監視システムにおいて、API・クラウド基盤・管理画面など複数レイヤーにまたがる脆弱性評価を実施。産業系システム特有の構成に対応した安全性の確保をサポートしています。

主な診断項目

診断項目	左記脆弱性が存在することによって被る被害例
総当たり攻撃 Brute Force	IDやパスワードが簡単に推測可能であり、管理者や他のユーザに成りすまされてしまいます。
もろいパスワード復元の検証 Weak Password Recovery Validation	ユーザがパスワードを忘れた際の回復方法に問題があり、パスワードの情報が外部に漏えいしてしまいます。
セッションの推測 Session Prediction	セッション情報が推測しやすい値の場合、攻撃者は正しい値を推測し、管理者やユーザに成りすますことができます。
不適切な承認 Insufficient Session Expiration	承認が不適切だと、アクセス権限の高いコンテンツや機能へのアクセスを認めてしまいます。これにより、攻撃者が他のユーザや管理者に成りすます危険性があります。
コンテンツの詐称 Content Spoofing	偽のコンテンツをあたかも正式なものであるかのように装ってウェブサイトに表示し、ユーザを欺きます。これにより、パスワードを抜き取られたり、フィッシング詐欺サイトへ誘導されたりする危険性があります。
クロスサイトスクリプティング Cross Site Scripting （XSS）	サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。
OS のコマンド実行 OS Commanding	サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。
SQL インジェクション SQL Injection	DBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります
情報漏洩 Information Leakage	ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。
ウェブサーバ・アプリケーションの特定 Fingerprinting	ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。
機能の悪用 Abuse of Functionality	ウェブサーバ、ウェブアプリケーションの持つ機能を不正に実行されてしまいます。その結果、SPAM（メールを大量配信すること）の中継地点に使われるなど、悪用されてしまいます。

成果物サンプル

サービスの特長

高い客観性のサービス

高度認定資格であるGIAC資格などの取得者を要する、最高技術レベルのチーム体制。「スタンダードプラン（22項目診断）」と「アドバンスドプラン（31項目診断）」がございます。

マニュアルによる丁寧な検証

ツールだけのレポートではないマニュアル診断を実施しています。１機能ごと診断した結果を診断員が実際に検証し、真の脆弱性かどうかを判断しています。また問題箇所は実際のキャプチャーを報告資料に明示しますので、一目で脆弱性が理解出来ます。

制作ベンダゆえのノウハウと
丁寧なレポート

実際にサイトを数多く制作してきた開発ベンダゆえのノウハウがあります。診断結果を分かりやすく図解したレポートを作成し、Webサイトの現状と問題点をご報告いたします。さらに、問題箇所を分かりやすく解説し、脆弱性の対策についてもご提案致します。解説については、すべて弊社セキュリティチームメンバーが記述しますので、ツールが自動的に生成した説明とは、分かりやすさが違います。

豊富な導入実績と
多種多様な業界システムに
対応可能な診断力

業界としていち早く診断サービスを立ち上げ、多種多様な業界と規模のWebサイトの診断を実施してきました。ECサービス、SaaS、社会インフラ、製造業など、用途や要件の異なるシステムに対して多数の診断実績があります。業界特有のリスクや運用状況を踏まえた適切な診断を行い、幅広いお客様から信頼をいただいています。

サービス資料をチェックする

導入の流れ

STEP

サービスご契約

機密保持契約の締結、情報提供
お見積
ご発注

STEP

診断事前調整

診断スケジュール調整
ヒアリングシートのご確認、ご記入

STEP

弊社にて診断および報告書作成

診断
深刻な問題が発見された場合は速報のご提出
報告書作成および納品

STEP

オンライン報告会

オンライン報告会にて結果をご報告

STEP

再診断実施（オプション）

オプションで再診断をお申込みいただいている場合、スケジュール調整の上実施

画面数による概算見積

画面数ごとの概算費用については下記をご参考ください。

画面数	10 画面	30 画面	50 画面
スタンダードプラン（22項目診断）の場合	77 万円	176 万円	275 万円
アドバンスドプラン（31項目診断）の場合	88 万円	198 万円	308 万円
再診断（オプション）	初回診断価格の 3 割

※記載している価格はすべて税抜価格となります。

例）スタンダードプランで、10画面のサイト、再診断のオプションを含める場合
77 万円（基本料金）＋ 23.1万円（再診断）＝100.1 万円

＼　概算費用を今すぐチェック！　／

概算見積りをシミュレーションする

よくあるご質問

どのような業界で利用されていますか: IT・SaaS、EC、製造業、社会インフラなど、業種を問わず幅広い分野でご利用いただいています。
業界ごとに診断内容が変わることはありますか: 基本的な診断項目は共通ですが、業界特有のリスクやシステム構成に合わせて、重点的に確認すべき項目が変わる場合があります。

よくある質問の続きはこちらから