診断したい画面やAPI数のヒアリングを行い、テストの費用をお見積りします。
- Webペネトレーションテスト <調査型> -
世界トップレベルのホワイトハッカーが
Webサービスの問題点を徹底的に可視化
バグバウンティやセキュリティコンテスト(CTF)、セキュリティトレーニング講師等で活躍する世界トップレベルのホワイトハッカーが対象Webアプリケーションの問題点を特定のシナリオや観点に縛られず徹底的に洗い出します。ソースコードなどの開発情報をご提供いただける場合、発見した問題点についてソースコードベースで報告を行うことも可能であるため、SaaSプラットフォームやプロダクトを自社開発しているお客様に特におすすめのサービスです。
Webペネトレーションテスト <調査型>は
こんな方におすすめ
- SaaSプラットフォームやプロダクトを自社開発している
- 個人情報や金融情報などの重要な情報を扱っている
- 社内でセキュリティコードレビューを実施していないもしくは不十分だと感じている
Webペネトレーションテスト <調査型> の
特長
01多角的なリスク評価が可能
Webペネトレーションテスト <調査型>では、単一の機能においてはリスクの低い脆弱性を組み合わせることでリスクが高くなるケースが存在しないかなどの検証が可能です。また、パスワードを平文で保存している問題など、脆弱性診断では検出できないような潜在的なリスクを可視化します。
02世界トップレベルのホワイトハッカーが実施
世界的に利用されている製品のバグバウンティ報告実績や、DEF CON CTF、Google CTF、SECCON CTF等のセキュリティコンテストで活躍、更には次世代のセキュリティ人材を育成するセキュリティトレーニング講師を勤めるような世界トップレベルのホワイトハッカーが実施します。
通常のホワイトボックス診断ではツールの静的ツールによる静的スキャンや机上評価のみにとどまりがちなところを当社では検証環境をご提供いただくことで実際に動作するかまで実証します。
Webペネトレーションテスト<調査型>は、1つのインシデントによる事業上の損害インパクトが大きいサービスを保有されている企業のセキュリティ担当にとって、設計・実装などの前工程で実施することにより手戻り工数を減らすことができ、トータルでの開発コストの削減にも寄与します。
Webペネトレーションテスト <調査型>の
診断フロー
-
01
見積
-
02
ペネトレーションテスト準備
検証環境情報やアカウント、禁止事項などを記入いただいたヒアリングシートおよび、ソースコード含む開発情報を提供可能な範囲で共有いただきます。
-
03
ペネトレーションテスト実施
ホワイトハッカーが、ソースコードなどの開発情報も含めて確認を行い、対象Webアプリケーションの問題点を徹底的に洗い出します。
-
04
報告
報告書にて診断対象の概要、脆弱性の詳細な解説、再現方法および対策の方法などを、Webアプリケーションの特性に応じて詳細に解説します。またご希望に応じてWebミーティング形式の報告会を行います。
Webペネトレーションテスト <調査型>
診断レポートサンプル
発見された脆弱性をお客様にて迅速に修正できるよう、具体的な内容・リスク・対策方法をご報告します。詳しくは、診断レポートのサンプルをご請求ください。
価格
対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。
よくある質問
- Qどんな言語でも対応可能でしょうか?
- A一般的なWebアプリケーションの開発で利用されている言語(Java、C#、JavaScript/TypeScript、Go、Ruby、PHP、Perl、Python)であれば対応可能です。その他の場合でもお気軽にご相談ください。
- Qスマホアプリに対するテストは可能でしょうか?
- Aスマートフォンアプリから通信を行うサーバーサイドAPIに対して本テストを実施することは可能です。クライアントアプリケーションについてのテストをご希望の場合、ソースコードをご提供ければスマホアプリ診断(フルプラン)の範囲内で実施可能です。
- Qソースコードはどのように共有すればよいでしょうか
- Aソースコードをご提供いただける場合、GitHubやGitLab等を利用して開発を行っているようであればリポジトリに招待いただくことを推奨しています。その場合、コミットログやIssue等を参考に診断を行うことが可能です。その他の場合についても診断環境で動作するものと同一のソースコード一式の共有をお願いしています。
Webペネトレーションテスト <調査型>について
もっと詳しく知りたい方はこちら
その他のサービス一覧
- Webアプリケーション診断 プレミアムプラン
- Webアプリケーション診断 ライトプラン(ASVS)
- 脆弱性診断(セキュリティ診断)とは
- Webペネトレーションテスト <シナリオ型>
- Webペネトレーションテスト <調査型>
- Webアプリケーション診断 おまかせプラン
- NFT・ブロックチェーン脆弱性診断
- GMOサイバーセキュリティ for 社会インフラ
- GMOサイバーセキュリティ for Drone/eVTOL
- セキュリティ調査
- クラウド診断
- レッドチーム演習
- インシデントレスポンス訓練コース
- オフェンシブセキュリティ資格取得コース
- イエラエアカデミー byGMO
- クラウドセキュリティ・
アドバイザリー - デジタルフォレンジック・
インシデントレスポンス支援 - Emotet感染対応
- セキュアアプリケーション開発
- 漏洩情報調査(Webmonitor)
- プロアクティブフォレンジック
- 調査ログ取得支援
- システムアーキテクチャレビュー・
コンサルティング - 事故マニュアル作成支援
- 脅威モデリング・
リスクアセスメント - デスクトップアプリ診断
- Webアプリケーション診断
- 調査特化型
- 物理環境
- OSINT
- 標的型攻撃
- ペネトレーションテスト
(侵入テスト) - セキュア開発プロセス支援
- スマホアプリ
(iOS・Android)
脆弱性診断 - プラットフォーム診断
(ネットワーク診断) - ゲームチート
ペネトレーションテスト - IoTデバイス
ペネトレーションテスト - CSIRT支援
- ディフェンスセキュリティ
- セキュリティコンサルティング
- 3大クラウドセキュリティ一元管理サービス Orca
- 新種マルウェア対策支援サービス BitDam
- GMO AIセキュリティ診断 for GPT
