Webアプリケーション診断 スタンダードプラン

Webアプリケーション診断では、診断ツールとエンジニアによる手動診断を組み合わせ、幅広く脆弱性を調査します。
ツールで網羅性とスピードを活かしながら、ツールだけでは見つけにくい脆弱性や誤検知がないかをエンジニアがチェックし、精度の高い診断を行います。

ローカルプロキシ経由でリクエストを書き換えレスポンス内容を確認します

診断対象

Webアプリケーション診断では、Webブラウザ上で動作するアプリケーション(主にHTML、CSS、JavaScriptで構成される画面や機能)に加え、そのアプリケーションを支えるサーバサイドAPIも診断対象です。

  • Webブラウザ上で動作する
    アプリケーション​

  • サーバサイドAPI

こんなWebアプリケーションにおすすめ

  • 個人情報やクレジット
    カード情報を取り扱っている​

  • ログイン認証機能がある

  • 条件によって画面を出し分けるなど
    ​複雑な遷移をする

特長

01システム全体を網羅的に診断することが可能

Webアプリケーション診断では、診断ツール、診断員の手動診断を組み合わせて網羅性のある診断をします。診断ツールの効率性を活かしながらも、誤った検知や識別できない脆弱性を診断員に目によってチェックし漏れがないように丁寧に脆弱性を洗い出していきます。

02Webアプリケーションの特性に合わせた診断が可能

Webアプリケーションに合わせた診断内容を専門家がご提案し、お客様とすり合わせて決定します。一般的に脆弱性診断が難しいとされるgRPCやGraphQLなどモダンなフレームワークやクエリ言語で実装している場合も診断可能です。

03緊急性の高い脆弱性が発見された場合、速報をお送りします

緊急対応していただきたい危険度の高い脆弱性については、発見から翌営業日以内に再現方法と対策を記載した速報をお送りします。

主な診断項目

報告書サンプル

報告書サンプル
報告書の内容
診断概要
結果サマリ
  • 総合評価
  • リスクレベル別評価
指摘事項詳細
  • リスクの説明
  • 確認手順
  • 想定される影響
  • 推奨される対策方法

英語での報告書作成も可能ですので、ご相談ください。

お問い合わせいただいた方に報告書サンプルをお送りします お問い合わせ

診断の流れ

  • ヒアリング
    診断対象の選定

    ヒアリングシートにご記入いただき、お客様とすり合わせの上、診断範囲を決定します。

  • お見積もり

    診断対象となる数量を算出して、お見積りします。
    対象がWebサイトの場合は、環境をクローリングしてリクエスト数を算出します。

  • 診断実施

    診断を実施します。緊急性の高い脆弱性が発見された場合、速報をお送りします。

  • 報告書提出

    診断結果の報告書を提出します。
    オプションで報告会や修正後の再診断が可能です。

診断事例

Sky株式会社

豊富な診断実績が決め手に

Sky株式会社

個人情報というデータを取り扱うため、セキュリティをより意識するような企業、機関での実績があるところを注視していました。GMOサイバーセキュリティ byイエラエを選定したのは金融系、公共・政府機関での診断実績に加え「0day脆弱性」の発見という多くの実績が非常に魅力的でした。

よくある質問

QOWASP TOP10には対応していますか?
A概ね対応しております。詳細は営業担当にお問い合わせください
Q管理しているシステムが多数あるのですが、対象の洗い出しはできますか?
A出来ます。弊社エンジニアにシステムの対象範囲をご相談ください。
Qhttpやhttps以外の通信プロトコル以外の診断は対応可能でしょうか。
A対応可能です。WebSocket、gRPC、GraphQLについては実績がございます。 MQTT、FIX、独自プロトコルについてはWebアプリケーション診断の対象外となる可能性がありますので 詳しくはお問合せください。

「情報セキュリティサービス基準適合サービスリスト」登録済

当社のWebアプリケーション診断は経済産業省の定める情報セキュリティサービス基準に適合したサービスとして「情報セキュリティサービス台帳」に登録されています。
サービス名:脆弱性診断サービス
登録番号:019-0004-20

プランや診断内容の詳細はこちら

脆弱性診断サービスをはじめ、サイバーセキュリティに関するサービス資料一式をダウンロードいただけます。

合わせて診断するのがおすすめ
インフラの脆弱性診断サービス

その他のWebアプリケーション診断プラン

ネットde診断

ツールを使って自社で定期的に安価に診断したい

¥40,000〜 /月(税込)

診断方法

クラウド型SaaSツール
(お客様自身で診断)

プランの特徴
  • 安価に導入できる
  • 定期的な脆弱性診断を自社で内製化できる
ライト

国際的な基準(ASVS項目)に準拠した診断をしたい

要お見積もり

診断方法

弊社エンジニアによる
脆弱性診断サービス

プランの特徴
  • 国際的なセキュリティ基準(ASVS項目)に準拠した診断ができる
おまかせ

診断対象の選定から実施までプロにおまかせしたい

要お見積もり

診断方法

弊社エンジニアによる
脆弱性診断サービス

プランの特徴
  • 世界トップクラスの技術を適正価格でご提供
  • お客様側の手間はなくプロに全ておまかせ
プレミアム

ソースコードまで徹底的に診断したい

要お見積もり

診断方法

弊社エンジニアによる
脆弱性診断サービス

プランの特徴
  • 世界トップクラスの技術を適正価格でご提供
  • プロに相談しながら診断対象を指定して診断可能
  • Webサイトの特性に合わせた適切なリスク対策ができる
  • ソースコードまで徹底的に診断できる

関連記事

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード