報告書の内容
- 診断概要
- 結果サマリ
-
- 総合評価
- リスクレベル別評価
- 指摘事項詳細
-
- リスクの説明
- 確認手順
- 想定される影響
- 推奨される対策方法
英語での報告書作成も可能ですので、ご相談ください。
Webアプリケーション診断 スタンダードプラン
Webアプリケーション診断では、診断ツールとエンジニアによる手動診断を組み合わせ、幅広く脆弱性を調査します。
ツールで網羅性とスピードを活かしながら、ツールだけでは見つけにくい脆弱性や誤検知がないかをエンジニアがチェックし、精度の高い診断を行います。
診断対象
Webアプリケーション診断では、Webブラウザ上で動作するアプリケーション(主にHTML、CSS、JavaScriptで構成される画面や機能)に加え、そのアプリケーションを支えるサーバサイドAPIも診断対象です。
-
Webブラウザ上で動作する
アプリケーション -
サーバサイドAPI
こんなWebアプリケーションにおすすめ
-
個人情報やクレジット
カード情報を取り扱っている -
ログイン認証機能がある
-
条件によって画面を出し分けるなど
複雑な遷移をする
特長
01システム全体を網羅的に診断することが可能
Webアプリケーション診断では、診断ツール、診断員の手動診断を組み合わせて網羅性のある診断をします。診断ツールの効率性を活かしながらも、誤った検知や識別できない脆弱性を診断員に目によってチェックし漏れがないように丁寧に脆弱性を洗い出していきます。
02Webアプリケーションの特性に合わせた診断が可能
Webアプリケーションに合わせた診断内容を専門家がご提案し、お客様とすり合わせて決定します。一般的に脆弱性診断が難しいとされるgRPCやGraphQLなどモダンなフレームワークやクエリ言語で実装している場合も診断可能です。
03緊急性の高い脆弱性が発見された場合、速報をお送りします
緊急対応していただきたい危険度の高い脆弱性については、発見から翌営業日以内に再現方法と対策を記載した速報をお送りします。
主な診断項目
-
- 入出力処理に関する脆弱性
- SQLインジェクション、クロスサイトスクリプティングなど
-
- 認証・認可に関する脆弱性
- ログインフォームや秘密情報の入力フォームに関する調査、
平文による秘密情報の送受信、認証や認可制御の不備など
-
- セッション管理に関する脆弱性
- セッション管理方法の不備など
-
- Webサーバ設定に関する脆弱性
- 許可されているHTTPメソッド、ディレクトリリスティング など
-
- クライアントサイド技術に関する
脆弱性 - 適切でないCross Origin Resource Sharingポリシー設定など
- クライアントサイド技術に関する
-
- 一般的な脆弱性
- 既知の脆弱性が存在するソフトウェアや不用意な情報公開など
-
- アプリケーション仕様や設計に
起因する脆弱性 - レースコンディション状態の悪用、クリックジャッキングなど
- アプリケーション仕様や設計に
報告書サンプル
診断の流れ
- ヒアリング
診断対象の選定ヒアリングシートにご記入いただき、お客様とすり合わせの上、診断範囲を決定します。
- お見積もり
診断対象となる数量を算出して、お見積りします。
対象がWebサイトの場合は、環境をクローリングしてリクエスト数を算出します。 - 診断実施
診断を実施します。緊急性の高い脆弱性が発見された場合、速報をお送りします。
- 報告書提出
診断結果の報告書を提出します。
オプションで報告会や修正後の再診断が可能です。
診断事例
豊富な診断実績が決め手に
Sky株式会社個人情報というデータを取り扱うため、セキュリティをより意識するような企業、機関での実績があるところを注視していました。GMOサイバーセキュリティ byイエラエを選定したのは金融系、公共・政府機関での診断実績に加え「0day脆弱性」の発見という多くの実績が非常に魅力的でした。
よくある質問
- QOWASP TOP10には対応していますか?
- A概ね対応しております。詳細は営業担当にお問い合わせください
- Q管理しているシステムが多数あるのですが、対象の洗い出しはできますか?
- A出来ます。弊社エンジニアにシステムの対象範囲をご相談ください。
- Qhttpやhttps以外の通信プロトコル以外の診断は対応可能でしょうか。
- A対応可能です。WebSocket、gRPC、GraphQLについては実績がございます。 MQTT、FIX、独自プロトコルについてはWebアプリケーション診断の対象外となる可能性がありますので 詳しくはお問合せください。
「情報セキュリティサービス基準適合サービスリスト」登録済
当社のWebアプリケーション診断は経済産業省の定める情報セキュリティサービス基準に適合したサービスとして「情報セキュリティサービス台帳」に登録されています。
サービス名:脆弱性診断サービス
登録番号:019-0004-20
019-0004-20
合わせて診断するのがおすすめ
インフラの脆弱性診断サービス
-
プラットフォーム診断
Webサーバやネットワーク機器などのプラットフォームに潜在する脆弱性を可視化します。
詳細を見る -
クラウド診断
AWS / Azure / Google Cloudをはじめとしたクラウドサービスに対しセキュリティ診断を行います。
詳細を見る
その他のWebアプリケーション診断プラン
ネットde診断
ツールを使って自社で定期的に安価に診断したい
¥40,000〜 /月(税込)
診断方法
クラウド型SaaSツール
(お客様自身で診断)
プランの特徴
- 安価に導入できる
- 定期的な脆弱性診断を自社で内製化できる
ライト
国際的な基準(ASVS項目)に準拠した診断をしたい
要お見積もり
診断方法
弊社エンジニアによる
脆弱性診断サービス
プランの特徴
- 国際的なセキュリティ基準(ASVS項目)に準拠した診断ができる
おまかせ
診断対象の選定から実施までプロにおまかせしたい
要お見積もり
診断方法
弊社エンジニアによる
脆弱性診断サービス
プランの特徴
- 世界トップクラスの技術を適正価格でご提供
- お客様側の手間はなくプロに全ておまかせ
プレミアム
ソースコードまで徹底的に診断したい
要お見積もり
診断方法
弊社エンジニアによる
脆弱性診断サービス
プランの特徴
- 世界トップクラスの技術を適正価格でご提供
- プロに相談しながら診断対象を指定して診断可能
- Webサイトの特性に合わせた適切なリスク対策ができる
- ソースコードまで徹底的に診断できる