Webアプリケーションの把握と、脆弱性診断の対象範囲を確定
ヒアリングシートで診断対象を明示いただいた後に、スケジュール調整します
-
診断要件の確認
ヒアリングシートをもとに診断要件を確認します。 -
事前接続確認
3営業日程度前に診断対象システムに対して、事前に接続確認を実施します。
- おまかせWebアプリケーション診断 -
リーズナブルな価格でWebアプリケーションの脆弱性を検出
ホワイトハッカーがツール+手動でスピーディーに診断します。手動診断することで、仮想攻撃者の視点で診断でき、ファイルアップロード、ログイン権限周りなどツール診断で識別できない脆弱性を発見します。
診断対象に応じて選べる2つのプラン
| 試験環境プラン | 本番環境プラン | |
|---|---|---|
| 概要 | 通常診断の項目をベストエフォートの 範囲でお手軽に診断 | 実ユーザへの影響を極力抑えることで 本番環境でもお手軽に安全に診断 |
| 診断対象 | Webブラウザでアクセス可能なサイト ※Rest APIやスマホアプリと連携するWebAPIを除く | Webブラウザでアクセス可能なサイト ※Rest APIやスマホアプリと連携するWebAPIを除く |
| 診断可能な機能 | 制限なし | 以下の機能に限定して診断可能 ・ログイン/ログアウト機能 ・参照機能 ・検索機能 |
| 診断項目 | 通常のWebアプリケーション診断の 診断項目範囲でベストエフォート | IPA「ウェブ健康診断」の項目に対応 ※一部対象外項目がございます |
| 診断手法 | ツール+手動診断 | 手動診断を前提とし、一部ツールを使用 |
| クローリング | なし | なし |
| 診断期間 | 5営業日 | 5営業日 |
| 診断開始/終了連絡 | あり | あり |
| 報告 | 診断完了後5営業日以内に 本プラン専用の報告書を送付 | 診断完了後5営業日以内に 本プラン専用の報告書を送付 |
| 診断後のサポート | 報告書納品後1か月間のQA対応 (メール/slack) ※報告書の内容に関する問い合わせにのみ対応します。 | 報告書納品後1か月間のQA対応 (メール/slack) ※報告書の内容に関する問い合わせにのみ対応します。 |
| 有償オプション | 速報対応/報告会/再診断 | 速報対応/報告会/再診断 |
おまかせWebアプリケーション診断は
こんな方におすすめ
- 脆弱性診断を実施したいが予算に制約がある
- セキュリティのプロフェッショナルによる脆弱性診断を実施したい
- セキュリティ技術について詳しい担当者がいないため、進行を含めて任せたい
おまかせWebアプリケーション診断の
3つの特長
01予算内でポイントを絞った適切な診断
脆弱性診断のご予算に制約がある中で、ポイントを絞った診断を実施いたします。
02診断準備に手間をかけずにライトに実施可能
おまかせWebでは、診断対象サイトの特徴に合わせて、ホワイトハッカー視点でリスクポイントを中心に診断対象を選定します。
通常のプランの場合は、診断対象の確定のため、ご希望の診断範囲全体にアクセスできるようにデータセットのご準備等を実施いただくため時間がかかっていました。
その診断対象の確定をホワイトハッカーに委ねることで、ライトに脆弱性診断を実施可能です。
035営業日でのスピーディな対応
おまかせWebの申し込みの際にヒアリングシートを記入いただき、5営業日以内で診断を実施します。診断前には診断開始と終了期間のお知らせをメールにて通知いたします。
おまかせWebアプリケーション診断の
診断フロー
-
01
Webアプリケーション診断 事前準備
-
02
診断実施
ツール+手動による脆弱性診断
診断期間内で該当するWebアプリケーションに対し、ツールでの診断を行いつつ、攻撃者の観点でツールでは検出不可能な診断を手動で実施します。
-
診断要件の脆弱性診断
ツールが得意としている診断対象への汎用的な診断を行い、設定不備やセキュリティ対策漏れによるWebアプリケーションの脆弱性を検出します。 -
診断対象Webシステムに潜在する脆弱性を想定した手動診断
ツール診断では検出できない診断項目を攻撃者の観点から手動で確認します。
-
-
03
診断報告レポート提出
実施結果報告
検出された脆弱性について詳細をご報告します。
-
Webアプリケーションへの影響度まで考慮したリスクレベル判定
仕様や影響度なども考慮し、Webアプリケーションごとに適切なリスクレベルでご報告します。また、同一の事象でも攻撃難易度などを考慮したリスクレベルを検討しご報告します。 -
Webアプリケーションの脆弱性や再現手順の詳細説明
検出した脆弱性の説明だけでなく、お客様が実際に再現できる手順もご報告します。また、リスクや推奨する対策方法についてもご報告します。※報告会につきましては、オプションプランとなりますので、ご希望の場合はお申し込み時にお知らせください。
-
セキュリティ診断の結果や行うべき対策がわかる
セキュリティ診断レポートサンプルをお送りします
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。
おまかせWebアプリケーション診断
診断レポートサンプル
発見された脆弱性をクライアント企業にて迅速に修正できるよう、具体的な内容・再現方法・リスク・対策方法をご報告します。詳しくは、診断レポートのサンプルをご請求ください。
おまかせWebアプリケーション診断の
価格
対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。
おまかせWebアプリケーション診断に関する
よくある質問
- Q診断レポートは通常のWebアプリケーション診断と違いますか?
- Aライトプランの診断レポートには、脆弱性の指摘事項を記載しております。
通常プランでは総合評価を記載しておりますが、ライトプランには記載はありません。
- Q管理しているシステムが多数あるのですが、対象の洗い出しはできますか?
- A出来ます。弊社エンジニアにシステムの対象範囲をご相談ください。
おまかせWebアプリケーション診断について
もっと詳しく知りたい方はこちら
その他のサービス一覧
- Webペネトレーションテスト <シナリオ型>
- Webペネトレーションテスト <調査型>
- おまかせWebアプリケーション診断
- NFT・ブロックチェーン脆弱性診断
- GMOサイバーセキュリティ for 社会インフラ
- GMOサイバーセキュリティ for Drone/eVTOL
- セキュリティ調査
- クラウド診断
- レッドチーム演習
- インシデントレスポンス訓練コース
- オフェンシブセキュリティ資格取得コース
- イエラエアカデミー byGMO
- クラウドセキュリティ・
アドバイザリー - デジタルフォレンジック・
インシデントレスポンス支援 - Emotet感染対応
- セキュアアプリケーション開発
- 情報漏洩対策・監視サービス
WebMonitor - 漏洩情報調査(Webmonitor)
- プロアクティブフォレンジック
- 調査ログ取得支援
- システムアーキテクチャレビュー・
コンサルティング - 事故マニュアル作成支援
- 脅威モデリング・
リスクアセスメント - デスクトップアプリ診断
- Webアプリケーション診断
- 調査特化型
- 物理環境
- OSINT
- Webペネトレーションテスト
- 標的型攻撃
- ペネトレーションテスト
(侵入テスト) - セキュア開発プロセス支援
- WaaS
(White hacker as a service) - Webアプリケーション診断 GraphQL
- スマホアプリ
(iOS・Android)
脆弱性診断 - プラットフォーム診断
(ネットワーク診断) - グラスボックス診断
(ソースコード診断) - ゲームチート
ペネトレーションテスト - IoTデバイス
ペネトレーションテスト - Webペネトレーションテスト
- CSIRT支援
- ディフェンスセキュリティ
- セキュリティコンサルティング
- 3大クラウドセキュリティ一元管理サービス Orca
- 新種マルウェア対策支援サービス BitDam
- プライスサーチ
