ウェブアプリケーションセキュリティ診断

ウェブサイトやウェブアプリケーションの脆弱性を調査し、対策を取る

サービス概要

ウェブアプリケーションセキュリティ診断は、ウェブアプリケーションに内在している脆弱性の洗い出しと問題点に対する必要な対策をご提案するサービスです。

サービスの特長

官公庁やメガバンクの金融アプリケーションからECサイト、業務アプリケーション、会員サイトまで幅広い診断経験を持つ専門家が攻撃者の視点で疑似攻撃を行い、ウェブアプリケーションに内在している脆弱性や問題点を洗い出し、検出された脆弱性や問題点に対する必要な対策案をウェブアプリケーションの特性に応じて報告いたします。

対象となるアプリケーション

ECサイトや業務アプリケーション、会員サイトなどのウェブアプリケーションおよびAPI

本サービスでは、以下2つのサービスメニューをご用意しております。

Professionalサービス

専門家によるマニュアル診断(手作業)を中心とし、すべての診断項目に対する脆弱性を網羅的に洗い出します。そして洗い出された脆弱性を利用してなりすましや、権限昇格などの攻撃に転用可能か、またビジネスロジックの不備によって発生する問題の可能性を高い精度で発見します。

Standardサービス

ツールによる診断を中心とし、SQLインジェクションやクロスサイトスクリプティングなど、一般的によく検出される脆弱性を洗い出します。また、専門家によるマニュアル診断(手作業)で、ツールでは検出されない認証機能やセッション管理の脆弱性を洗い出します。

ウェブアプリケーションセキュリティ診断実施により明確になるセキュリティ懸案事項

  • データベース内の情報にアクセスすることが可能か
  • なりすましによる不正アクセスが可能か
  • 一般ユーザが権限を昇格することが可能か
  • 情報漏えいにつながる重要データの取得が可能か
  • ページの改ざん、悪意あるサイトへの誘導が可能か
  • フィッシング攻撃の踏み台として悪用することが可能か

実施環境

2つの環境からお選びいただけます。

  • インターネット経由のリモート診断
  • お客様オフィス(データセンター等を含む)に訪問し、現地にて実施するオンサイト診断

診断環境の例

診断項目

項目概要
パラメータ操作クロスサイトスクリプティング(XSS)
SQLインジェクション
メールヘッダインジェクション
各種インジェクション(XXE/OSコマンド/ディレクトリトラバーサル/HTTPヘッダなど)
情報の取り扱いエラーメッセージ・コメントの出力
WEB STORAGEの取り扱い
サーバ設定・通信の不備重要情報の平文通信
ディレクトリ・リスティング/不要と思われるコンテンツ
各種HTTPレスポンスヘッダの不備
セッション管理・認証の
問題
認証処理の不備
不正アクセスへの対策状況
セッション管理の不備
Cookieの取り扱い不備
アプリケーション固有の
問題
クロスサイトリクエストフォージェリ(CSRF)
アクセスコントロールの不備
ビジネスロジックの不備
CMS利用しているライブラリやCMSの調査

上記の記載内容が、当社診断実施内容のすべてではございません。

サービスメニューにより、提供する診断項目が異なります。

ウェブアプリケーションセキュリティ診断は、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。

018-0011-20

情報セキュリティサービスマークについて

導入フロー

  • 事前打ち合わせ
    • 試験対象範囲の設定
    • 実施日の決定
    • 関連部署との調整周知
  • 診断実施
    • 診断実施
    • 診断開始、終了時には弊社より適宜連絡を行います。
  • 報告書作成
    • 報告書作成
    • 分析作業開始
    • 脆弱性リスク分析
    • 推奨策の調査および記述
  • 報告会実施
    • 関係者を集めた報告会の開催

サービス申込み時に機密保持契約を締結します。

報告書提出から2週間、Q&A対応期間を設けています。

サンプル

ウェブ診断結果報告書