WebAPI/IoTサーバサイド脆弱性診断サービス

WebAPI/IoTサーバサイド脆弱性診断とは

Webアプリやスマートフォンアプリの通信先WebAPIに対し、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い(ブラックボックステスト) 、脆弱性の有無と対策手段を明らかにし、レポートにまとめてご報告するサービスです。診断中に深刻な脆弱性が発見された場合は、対策を含めて即ご報告致します。

サービスの特長

 万全のチーム体制

 マニュアルによる丁寧な検証

 制作ベンダゆえのノウハウと丁寧なレポート

 豊富な導入実績

サービスご提供イメージ

主な診断項目

診断項目左記脆弱性が存在することによって被る被害例
総当たり攻撃
Brute Force
IDやパスワードが簡単に推測可能であり、管理者や他のユーザに成りすまされてしまいます。
もろいパスワード復元の検証
Weak Password Recovery Validation
ユーザがパスワードを忘れた際の回復方法に問題があり、パスワードの情報が外部に漏えいしてしまいます。
セッションの推測
Session Prediction
セッション情報が推測しやすい値の場合、攻撃者は正しい値を推測し、管理者やユーザに成りすますことができます。
不適切な承認
Insufficient Session Expiration
承認が不適切だと、アクセス権限の高いコンテンツや機能へのアクセスを認めてしまいます。これにより、攻撃者が他のユーザや管理者に成りすます危険性があります。
OS のコマンド実行
OS Commanding 
サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。
SQL インジェクション
SQL Injection
DBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります
情報漏洩
Information Leakage 
ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。
ウェブサーバ・
アプリケーションの特定
Fingerprinting
ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。

成果物サンプル

表紙
診断結果概要
診断詳細
診断結果概要(グラフ)

サービスの特長

万全のチーム体制

高度認定資格であるGIAC資格などの取得者を要する、最高技術レベルのチーム体制にて診断を実施しています。技術力には定評があります。

マニュアルによる丁寧な検証

ツールだけのレポートではないマニュアル診断を実施しています。1機能ごと診断した結果を診断員が実際に検証し、真の脆弱性かどうかを判断しています。また問題箇所は実際のキャプチャーを報告資料に明示しますので、一目で脆弱性が理解出来ます。

制作ベンダゆえのノウハウと
丁寧なレポート

​​実際にサイトを数多く制作してきた開発ベンダゆえのノウハウがあります。​診断結果を分かりやすく図解したレポートを作成し、Webサイトの現状と問題点をご報告いたします。さらに、問題箇所をわかりやすく解説し、脆弱性の対策についてもご提案致します。​解説については、すべて弊社セキュリティチームメンバーが記述しますので、ツールが自動的に生成した説明とは、分かりやすさが違います。​

豊富な導入実績

業界としていち早く診断サービスを立ち上げ、多種多様な業界と規模のWebサイトの診断を実施してきました。診断実績数は1000サイト以上と豊富な実績がございますので、安心してご依頼ください。

導入の流れ

STEP
サービスご契約
  • 機密保持契約の締結、情報提供
  • お見積
  • ご発注
STEP
診断事前調整
  • 診断スケジュール調整
  • ヒアリングシートのご確認、ご記入
STEP
弊社にて診断および報告書作成
  • 診断
  • 深刻な問題が発見された場合は速報のご提出
  • 報告書作成および納品
STEP
報告会/再診断実施(オプション)
  • オプションで報告会や再診断をお申込みいただいている場合、スケジュール調整の上それぞれ実施

価格

診断対象サイトのAPI本数により価格が変動します。

サービスプラン15項目診断
基本料金20 万円
本数単価3.5 万円 / 1
 報告問題箇所と対策方法について、詳細を報告書にまとめご報告します。
クリティカルな脆弱性が発見された場合、​当日中に対策方法をご報告します。
報告会(オプション)10万円
再診断(オプション)初回診断価格の3割
※記載している価格はすべて税抜価格となります。

関連サービス

あわせて読みたい
Webアプリケーション脆弱性診断サービス Webアプリケーション脆弱性診断とは Webサイトにおけるコンテンツ層に対して、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い(ブラックボックス...
あわせて読みたい
クラウドセキュリティ設定診断サービス クラウドセキュリティ設定診断とは ​クラウドプラットフォームに存在する、様々なリソースに対する設定がセキュアになっているかどうかを診断するサービスです。各クラ...
あわせて読みたい
プラットフォーム脆弱性診断サービス プラットフォーム脆弱性診断とは ​診断員が診断対象サーバに対してスキャンをベースとした検査を行い、検出されたセキュリティ上の問題点の内容と、その対策方法をレポ...
あわせて読みたい
WebAPI/IoTサーバサイド脆弱性診断サービス WebAPI/IoTサーバサイド脆弱性診断とは Webアプリやスマートフォンアプリの通信先WebAPIに対し、攻撃者の視点から診断員がツールおよび手作業による擬似的な攻撃を行い...
あわせて読みたい
スマートフォンアプリケーション脆弱性診断サービス スマートフォンアプリケーション脆弱性診断とは スマートフォンアプリ(Androidアプリ・iOSアプリ)に対して、複数の診断ツールと手動診断を組み合わせて脆弱性を診断す...

ブログ

導入事例