報告書の内容
- 診断概要
- 結果サマリ
-
- 総合評価
- リスクレベル別評価
- 指摘事項詳細
-
- リスクの説明
- 確認手順
- 想定される影響
- 推奨される対策方法
英語での報告書作成も可能ですので、ご相談ください。
Webアプリケーション診断 プレミアムプラン
脆弱性診断とホワイトハッカーの知見を活かしたソースコード診断のハイブリッドサービス
Webアプリケーション診断プレミアムは、通常の脆弱性診断に加え、ホワイトハッカーの知見を活かしたソースコード診断を組み合わせたハイブリッド型のサービスです。世界水準のホワイトハッカーが標準化した手法を用いて、特に深刻な脆弱性に重点を置いたソースコード診断を行うため、一般的な診断よりも高品質な結果を得られます。
さらに、大規模なシステムであってもアプリケーション全体を対象に診断できるため、包括的なセキュリティ対策として有効です。
こんな方におすすめ
- 通常の診断を行う予定はあるが、追加でソースコードを含めた診断を実施したい
- システム全体に効果的なセキュリティ対策を講じたい
- 既存の診断手法では見逃されがちな深刻な脆弱性がないか確認したい
特長
01経験豊かなセキュリティ診断員が診断します
Webアプリケーションの特性に応じた柔軟な診断を行います。一般的に脆弱性診断が難しいとされるモダンなプロトコル、例えば、リアルタイムチャットやゲームで用いられるWebSocket、gRPC、GraphQL等のプロトコルにも対応可能です。(実施には条件がありますのでご相談ください)
02ブラックボックステストでは検証できない項目や潜在的なリスクの検出
ブラックボックステストだけでは検証が困難な項目や潜在的なリスクも検出することができます。ソースコード診断により、アプリケーションの内部に潜む脆弱性やセキュリティリスクを特定することができます。これにより、より信頼性の高い脆弱性診断と、原因や対策方法をより明確にした結果報告が可能です。
03300項目以上の標準化された診断と問題のある実装箇所への対策提案
世界レベルのホワイトハッカーによって作成された独自項目を含め、1900項目以上の診断項目の中からリスクの高い項目(300項目以上)を選定して診断します。さらに、診断結果において問題のある実装箇所を特定し、経験豊富なエンジニアが具体的な対策を提案します。
主な診断項目
-
- 入出力処理に関する脆弱性
- SQLインジェクション、クロスサイトスクリプティングなど
-
- 認証・認可に関する脆弱性
- ログインフォームや秘密情報の入力フォームに関する調査、
平文による秘密情報の送受信、認証や認可制御の不備など
-
- セッション管理に関する脆弱性
- セッション管理方法の不備など
-
- Webサーバ設定に関する脆弱性
- 許可されているHTTPメソッド、ディレクトリリスティング など
-
- クライアントサイド技術に関する
脆弱性 - 適切でないCross Origin Resource Sharingポリシー設定など
- クライアントサイド技術に関する
-
- 一般的な脆弱性
- 既知の脆弱性が存在するソフトウェアや不用意な情報公開など
-
- アプリケーション仕様や設計に
起因する脆弱性 - レースコンディション状態の悪用、クリックジャッキングなど
- アプリケーション仕様や設計に
報告書サンプル
診断の流れ
- ヒアリング
診断対象の選定ヒアリングシートにご記入いただき、お客様とすり合わせの上、診断範囲を決定します。
- お見積もり
診断対象となる環境をクローリングしてリクエスト数を算出し、お見積りします。
- ソースコード分析と
診断実施診断を実施します。緊急性の高い脆弱性が発見された場合、速報をお送りします。
さらにソースコード診断によってシステムの脆弱性を洗い出します。 - 報告書提出
診断結果の報告書を提出します。
オプションで報告会や修正後の再診断が可能です。
よくある質問
- Qシステムの稼働に影響ありますか?
- Aサービスの負荷が上昇する等、影響が出る可能性があり、検証環境での実施を推奨します。
本番環境での実施はこちらの記事をご参考ください。
- Q準備するものはありますか?
- AWebアプリケーションやAPIが正常動作する環境やアカウント情報、ソースコード共有のご準備をお願いします。また、可能であれば仕様書の準備をお願いするケースがあります。
- Qソースコードの受領方法について
- AGitHubやGitLab等を利用して開発を行っているようであればリポジトリに招待いただくことを推奨しています。その他の場合についても診断環境で動作するものと同一のソースコード一式の共有をお願いしています。
- Qソースコード診断ではどのような作業を行いますか?
- Aソースコードを対象にツールによる診断と手動による精査を組み合わせてシステム全体を検査します。これによって短期間で効率的にセキュリティ上の脆弱性や潜在的リスクを特定します。
- Q報告書にはどのような情報が含まれますか?
- A報告書には、診断作業の結果や検出した脆弱性の再現手順や対策方法が含まれます。脆弱性の脅威や影響範囲に応じてリスク評価を客観的に可視化します。
- Qソースコード診断ではどのプログラミング言語に対応していますか?
- A現在以下のプログラミング言語に対応しております。その他の言語についてはご相談ください。
Java, JavaScript, Ruby, PHP, C#, Python, Go
「情報セキュリティサービス基準適合サービスリスト」登録済
当社のWebアプリケーション診断は経済産業省の定める情報セキュリティサービス基準に適合したサービスとして「情報セキュリティサービス台帳」に登録されています。
サービス名:脆弱性診断サービス
登録番号:019-0004-20
019-0004-20
合わせて診断するのがおすすめ
インフラの脆弱性診断サービス
-
プラットフォーム診断
Webサーバやネットワーク機器などのプラットフォームに潜在する脆弱性を可視化します。
詳細を見る -
クラウド診断
AWS / Azure / Google Cloudをはじめとしたクラウドサービスに対しセキュリティ診断を行います。
詳細を見る
その他のWebアプリケーション診断プラン
ネットde診断
ツールを使って自社で定期的に安価に診断したい
¥40,000〜 /月(税込)
診断方法
クラウド型SaaSツール
(お客様自身で診断)
プランの特徴
- 安価に導入できる
- 定期的な脆弱性診断を自社で内製化できる
ライト
国際的な基準(ASVS項目)に準拠した診断をしたい
要お見積もり
診断方法
弊社エンジニアによる
脆弱性診断サービス
プランの特徴
- 国際的なセキュリティ基準(ASVS項目)に準拠した診断ができる
おまかせ
診断対象の選定から実施までプロにおまかせしたい
要お見積もり
診断方法
弊社エンジニアによる
脆弱性診断サービス
プランの特徴
- 世界トップクラスの技術を適正価格でご提供
- お客様側の手間はなくプロに全ておまかせ
おすすめ
スタンダード
Webサイトの特性に合わせたリスク対策をしたい
要お見積もり
診断方法
弊社エンジニアによる
脆弱性診断サービス
プランの特徴
- 世界トップクラスの技術を適正価格でご提供
- プロに相談しながら診断対象を指定して診断可能
- Webサイトの特性に合わせた適切なリスク対策ができる