MENU
  1. ホーム
  2. 脆弱性診断サービス(サービス)

脆弱性診断サービス(サービス)

Webアプリケーション
脆弱性診断

診断イメージ

Scroll down

Service

サービスの内容

Webアプリケーション診断は、手動診断をメインとし、網羅性や機械的なテストを実現するため 独自の補助ツールを組み合わせて疑似攻撃を行い、Webアプリケーション上の脆弱性を調査するサービスです。 AIを活用したWeb アプリケーションにも対応しております。

Webアプリケーション診断の図解

Feature

Webアプリケーション脆弱性診断サービスの特徴

経験豊富なセキュリティ
診断員が対応

診断を担当するのは、セキュリティ業界での実務経験が豊富なプロフェッショナルです。 一人ひとりが多数のサイト診断実績を持ち、最新の攻撃トレンドにも精通しています。 難易度の高い脆弱性の発見経験もあり、安心してお任せいただけます。

手動による徹底診断

自社開発の複雑な機能や一般的なツールでは見つけにくい問題も、 当社ならすべて専門エンジニアが手作業で確認します。 自動ツール任せにせず、人の目と手で隅々まで診断することで、細かな脆弱性も見逃しません。

ビジネスロジックの
脆弱性も検出

単なるフォームや入力チェックだけでなく、サイト固有の業務ロジックに潜む脆弱性まで踏み込んで診断します。 たとえば、通常の利用フローでは起こりえない不正な操作や組み合わせによる抜け道もしっかり検証。 お客様のビジネスに直結する深刻な問題を未然に洗い出します。

分かりやすいレポートと
改善提案

診断後には、発見された脆弱性の詳細な説明と緊急度、具体的な改善方法をまとめたレポートをご提供します。 専門用語もできるだけ噛み砕き、開発ご担当者様にも経営層の方にも理解しやすい内容となるよう心がけています。 見つかった問題については修正のご相談にも応じます。

Main Diagnostic Items

主な診断項目

入出力処理に関する脆弱性

クロスサイトスクリプティング
SQLインジェクション
OSコマンドインジェクション
HTTPヘッダインジェクション
メールヘッダインジェクション
XXEインジェクション
LDAPインジェクション
その他各種インジェクション
オープンリダイレクト
ディレクトリトラバーサル
ファイルインクルージョン
任意ファイルのアップロード及び公開
バッファオーバーフロー
入力値フィルタの回避
安全でないデシリアライゼーションの可能性

認証に関する脆弱性

ログインフォームおよび秘密情報の入力フォームに関する調査
エラーメッセージによる情報推測
平文による秘密情報の送受信
アカウントロックアウトの不備
ログアウト機能の不備
パスワード変更または再発行機能の悪用
強制ブラウズ
認証の不備

認可に関する脆弱性

認可制御の不備(権限昇格)
認可制御の不備

セッション管理に関する脆弱性

Secure属性のないセッション管理用Cookie
長いセッション有効期限
強度の低いセッションID
セッションフィクセーション
セッション管理方法の不備
クロスサイトリクエストフォージェリ

Webサーバ設定に関する脆弱性

許可されているHTTPメソッド
ディレクトリリスティング
システム情報の表示
管理画面の検出
TLS / SSL 関連

クライアントサイド技術に関する脆弱性

適切でないCross Origin Resource Sharingポリシー設定
Same Origin Policy 回避につながる脆弱性

一般的な脆弱性

既知の脆弱性が存在するソフトウェア
不用意な情報公開

アプリケーション仕様や設計に起因する脆弱性

ロジック上の問題点
サービス妨害
キャッシュ制御の不備
秘密情報を含むURL
クリックジャッキング
レースコンディション状態の悪用
システムのSPAM行為への悪用

上記は一部の例です。この他にも、サイトの構成や技術スタックに合わせて追加の診断項目を設定いたします。
お客様のサイトに最適な形で診断を実施します。具体的には以下の基準を参考にしています。

  • OWASP「ASVS(Application Security Verification Standard)」
  • OWASP「Security Testing Guideline」
  • OWASP 脆弱性診断士スキルマッププロジェクト「脆弱性診断ガイドライン」
  • OWASP TOP10
  • 独立行政法人情報処理推進機構「ウェブ健康診断仕様」
  • デジタル庁「政府情報システムにおける脆弱性診断導入ガイドライン」

Flow

診断の流れ

01

事前ヒアリング・準備

まずは対象となるWebサイトの構成や規模、お困りごとをお伺いします。
その上で診断のスコープ(範囲)と日程を決定。必要に応じてテスト用アカウントの発行や事前準備を行います。

02

脆弱性診断の実施

合意いただいた期間内で脆弱性診断を実施します。
セキュリティエンジニアがサイト全体を巡回しながらテストを行い、自動ツールでは検出できないような脆弱性も手作業で確認します。
一般的な脆弱性は網羅しつつ、サイト固有の挙動にも注目して攻撃シナリオを試行します。

03

分析とレポート作成

診断で得られた結果をもとに、脆弱性の影響度や再現手順を分析します。
発見された問題それぞれについて、攻撃者に悪用された場合に考えられる被害シナリオや深刻度を評価し、対応優先度を付けます。
そして、それらを分かりやすく整理した報告書を作成します。

04

結果のご報告・フォロー

診断結果の報告書をご提出し、オンラインまたは対面でご説明いたします。
報告会ではご不明点の質問にお答えし、必要であれば開発担当者様向けに具体的な修正方法のアドバイスも行います。
修正対応後の再診断もご希望に応じて実施可能です。

Report Sample

報告書サンプル

弊社では以下のように「Webアプリケーション脆弱性診断サマリー」と 「Webアプリケーション脆弱性診断エンジニアレポート」の2冊でご報告いたします。

診断サマリー表紙 エンジニアレポート表紙

Rates & Quotations

料金・お見積り

当社のWeb脆弱性診断サービスは、診断対象の規模やページ数、診断深度によって料金が変動します。
お客様のご要望とサイトの状況をヒアリングした上で個別にお見積りいたしますので、まずはお気軽にお問い合わせください。
小規模サイトの簡易診断から大規模サービスの集中的な精査まで、ご予算に合わせた柔軟なプラン提案も可能でございます。