ウェブアプリケーションセキュリティ診断

ウェブサイトやウェブアプリケーションの脆弱性を調査し、対策を取る

サービス概要

ウェブアプリケーションに内在している脆弱性を狙った攻撃が増え、個人情報などの重要情報が漏えいする事件が多発しています。

インフォセックの「ウェブアプリケーションセキュリティ診断」は、ウェブアプリケーションに内在している脆弱性の洗い出しと問題点に対する必要な対策をご提案するサービスです。

インフォセックがご提供する「ウェブアプリケーションセキュリティ診断」は、以下のサービスメニューを用意しております。

Professionalサービス

専門家によるマニュアル診断(手作業)を中心とし、すべての診断項目に対する脆弱性を網羅的に洗い出します。

Professionalサービスでは、洗い出された脆弱性を利用してなりすましや権限昇格などの攻撃に転用可能か、またアプリケーションロジックの不備によって発生する問題を高い精度で発見します。

Professionalサービスは、ウェブアプリケーションの停止による業務インパクトが大きい、機微な重要情報を保持するなどのウェブアプリケーションに対して、徹底的にチェックしたお客様に最適なサービスです。

Standardサービス

ツールによる診断を中心とし、SQLインジェクションやクロスサイトスクリプティングなど、一般的によく検出される脆弱性を洗い出します。また、専門家によるマニュアル診断(手作業)で、ツールでは検出されない認証機能やセッション管理の脆弱性を洗い出します。

Standardサービスは、個人情報の入力がある、一般的によく検出される脆弱性がウェブアプリケーションに内在していないか確認したいというお客様に最適なサービスです。

ウェブアプリケーションセキュリティ診断は、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。

018-0011-20

情報セキュリティサービスマークについて

特長

インフォセックの「ウェブアプリケーションセキュリティ診断」は、官公庁やメガバンクの金融アプリケーションからECサイト、業務アプリケーション、会員サイトまで幅広い診断経験を持つ専門家が攻撃者の視点で疑似攻撃を行い、ウェブアプリケーションに内在している脆弱性や問題点を洗い出します(※1)。

検出された脆弱性や問題点に対する必要な対策案をウェブアプリケーションの特性に応じて報告いたします。

(※1)2012年4月~2014年3月に実施したウェブアプリケーションセキュリティ診断サービスの結果、90%以上のサイトから危険度が高い脆弱性を検出しております。

ウェブアプリケーションセキュリティ診断を実施することにより、1例として以下のことが明確になります。

  • データベース内の情報にアクセスすることが可能か
  • なりすましによる不正アクセスが可能か
  • 一般ユーザが権限を昇格することが可能か
  • 情報が漏えいしている可能性はないか
  • ページの改ざん、悪意あるサイトへの誘導が可能か
  • フィッシング攻撃の踏み台として悪用することが可能か

【実施環境】

インターネット経由のリモート診断、またはお客様オフィス(データセンター等を含む)に訪問し
現地にて実施するオンサイト診断の2種類があります。

診断環境の例

導入フロー

お問い合わせから導入、報告会までの導入フローはこちらを参照ください。

サンプル

ウェブ診断結果報告書