PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

セキュリティ診断サービス(ITインフラ/Webアプリ/ソースコード診断)

専門家による診断で、お客様のサーバやWebコンテンツに潜む脆弱性を洗い出し、サイバー攻撃対策を支援します。

日々サイバー攻撃は増えており、WebアプリやWebメール等のWebコンテンツ、サーバやネットワーク機器等がサイバー攻撃の標的となっています。たとえWebサイトやサーバ内に個人情報を保持していないとしても安心は出来きません。攻撃者が脆弱性を利用してサーバを乗っ取られると、サイト利用者がマルウェア感染やフィッシングサイトに誘導さるなど、お客様のサーバが加害者になってしまう可能性があります。そのようなサイバー攻撃から守る為にお客様のサーバやWebコンテンツに潜む脆弱性を洗い出し、セキュリティ対策を支援します。

サービス概要

本診断サービスでは、Webコンテンツ、サーバの脆弱性や脅威の洗い出しを行う、3種類のサービスを提供します。

診断サービスでは、脆弱性スキャナを利用した結果をそのまま報告はせず、アナリストが手動で検査結果の精査及び追加調査を行っている為、高品質な診断結果をご提供することが出来ます。

ツールのスキャン結果は、脆弱性の検出結果によっては十数ページ~千ページまでの規模に及ぶ可能性があります。また、誤検知・過検知等のノイズが多く含まれており、脆弱性の対策費用が多く嵩む可能性があります。本サービスでは、その様な費用を発生させない為にセキュリティに精通した専門家がノイズを除去し、診断結果を分かりやすいフォーマットの報告書にまとめご報告します。

ITインフラ診断

サーバやネットワーク機器のOSやミドルウェアに対して設定不備やパッチ適用不備などによる脆弱性を調査し、対策方法をご報告します。

対象サーバのOS及び稼働しているサービスをチェックし、稼働しているサービスで利用されているソフトウェアに脆弱性が存在するか調査を行います。

主な診断項目
ポートスキャン調査TCP/UDP に対してオープンポート状況を確認します。
バナー調査オープンポートに対してサービスのバナー情報(ソフトウェアのバージョン等の情報)を収集します。
各種OSの脆弱性調査WindowsやLinux等のOSの脆弱性を調査します。
アカウント調査デフォルトアカウントや単純なパスワードの利用有無を調査します。
暗号化設定の調査危殆化した暗号や脆弱な暗号を利用していないか調査します。
その他の脆弱性調査その他、取得出来た情報から脆弱性の有無を調査します。

拡張オプション:侵入テスト(ペネトレーションテスト)

お客様のサーバやネットワーク機器に潜む脆弱性を調査し、事前に定めた攻撃目標が達成出来るかを評価、報告します。 脆弱性診断では、網羅的にサーバの脆弱性を洗い出すことが目的ですが、ペネトレーションテストは、お客様と協議の上、定めた攻撃目標が達成出来たかどうかを確認することを目的とします。また、報告内容に関しては、脆弱性診断は検出した脆弱性を報告し、ペネトレーションテストは調査過程で検出した脆弱性を報告の上、攻撃の結果を報告します。

 脆弱性診断ペネトレーションテスト
目的サーバの脆弱性を網羅的に調査攻撃目標を達成する為の脆弱性を調査し、攻撃コードを実行して実際のリスクを評価・分析を行う。
報告内容報告内容攻撃シナリオと実行結果
調査過程で検出した脆弱性

ペネトレーションテストは、お客様と目標を協議して作業内容を決定しますが、基本は以下のような作業工程でご提案しております。

※上記の作業日数は、診断対象の規模によって変動いたします。作業日数の詳細についてはお問い合わせ下さい。上記Exploit(攻撃実行)で実施する作業内容としては下表の作業が基本作業となります。その他の作業内容をご希望の場合は、ご相談下さい。

Exploitコード実行脆弱性調査で見つけた脆弱性を利用する攻撃コードを実行します。
パスワードクラック脆弱性調査の段階で見つけた対象機器の認証サービスに対して、アカウント情報とパスワードの辞書を用いてパスワードクラックを試みます。

WEBアプリ診断

Web アプリケーションやWebAPI等のWeb コンテンツに対して SQL インジェクションやクロスサイト・スクリプティング (XSS)等の脆弱性を調査し、対策方法をご報告します。Webコンテンツで利用している言語を問わず、Webコンテンツにアクセス可能であれば診断を行うことが出来ます。

Webサイト上の操作に伴う通信(リクエスト)を改変し、Webサーバから受信した通信(レスポンス)から脆弱性を判断します。

主な診断項目
SQLインジェクションデータベースの不正操作を受けないか調査します。
クロスサイト・スクリプティングページ改ざんや他ユーザのセッション情報奪取攻撃の可否を調査します。
クロスサイトリクエストフォージェリ正規ユーザが意図して操作していることをチェックする機能が備わっていることを調査します。意図しない注文、ユーザ情報変更、退会処理等が行われないか確認します。
ディレクトリ・トラバーサル非公開のデータにアクセスされないか調査します。
OS コマンドインジェクションWebサーバのOSコマンドを不正に実行されないか調査します。
パスワード管理の不備対象サイト内のパスワード管理に不備がないか調査します。
ファイルアップロード機能の不備ファイルアップロード機能において、想定外のファイルがアップロード出来ないか調査します。
認証制御の不備認証回りに不備があり、認証回避やなりすましが行えないか調査します。
認可制御の不備複数権限が存在するシステムにおいて、権限を無視してアクセス出来ないか調査します。

診断対象

ECサイトやコーポレートサイト等のWebサイトもしくは、スマートフォンアプリやWebサービスのマッシュアップAPI等のWebAPIを対象とします。

ソースコード診断

アプリケーションのソースコードに潜む脆弱性を検出し、対策方法をご報告します。開発中(稼働中も可)のソースコードを解析することにより、アプリケーションの根本的なセキュリティ対策を支援します。Webアプリ診断とは違い、Webサーバの環境の準備する必要がなく、ソースコードを提供していただくことで診断可能です。

主な診断項目
SQLインジェクションデータベースの不正操作を受けないか調査します。
クロスサイト・スクリプティングページ改ざんや他ユーザのセッション情報奪取攻撃の可否を調査します。
クロスサイトリクエストフォージェリ正規ユーザが意図して操作していることをチェックする機能が備わっていることを調査します。意図しない注文、ユーザ情報変更、退会処理等が行われないか確認します。
ディレクトリ・トラバーサル非公開のデータにアクセスされないか調査します。
OS コマンドインジェクションWebサーバのOSコマンドを不正に実行されないか調査します。
バッファオーバーフロー上限若しくは下限を大きく超えた値が入力された時に予期しない挙動が起きないか調査します。
ハードコーディングされた機密情報ソースコード内にパスワード等の機密情報がハードコーディングされていないか調査します。
ログ偽造ログ書き込み処理に不正な文字列を挿入することでログ改ざんを行えないか調査します。
解放されていないリソース確保したリソースを処理終了時に解放しているか確認します。
対応言語

本サービスでは、様々な言語に対応しており、20種類に及ぶプログラミング言語の解析及び脆弱性の報告を行います。

Java、Apex and VisualForce、C#、Ruby、JavaScript、VBScript、VB.NET、Perl、ASP、HTML5、VB6、Python、PHP、Groovy、C/C++、Scala、Android (Java)、PL/SQL、Objective C、GO、Swift

サービス提供までのフロー

診断対象のシステム概要や対象規模についてヒアリングを行った上、見積りを行います。その後、診断、診断結果の分析・調査、報告、報告結果のお問い合わせ受付という流れになります。

※上記の作業日数は、診断対象の規模によって変動いたします。作業日数の詳細についてはお問い合わせ下さい。

共通オプション

本サービスでは、以下のオプションメニューをご提供しています
作業項目作業内容
夜間/休日診断日中の業務に影響が出ないように平日夜間、休日日中、休日夜間に作業を実施します。
オンサイト診断診断対象サーバが外部公開されていない、内部における脆弱性リスクを把握したい場合に顧客先に伺い診断します。 ※ソースコード診断におけるオンサイト診断は要相談
速報高危険度の脆弱性を以下日程でご連絡します。 ITインフラ/Webアプリ診断 (診断終了後3日以内) ソースコード診断 (診断終了後5日以内)
フォローアップ診断診断で検出した脆弱性が正しく是正されているか確認します。
診断結果報告会診断結果報告書を提出後、診断報告書についてお客様指定の場所でご説明します。

価格

お客様の診断対象の規模とシステム概要をヒアリングし、個別にお見積りいたします。
概算見積のみをお求めのお客様は、以下の情報をお問い合わせ内容に記載の上お問い合わせ下さい。

ITインフラ診断IP数
Webアプリ診断画面数
ソースコード診断ソースコードのステップ数(行数)

・診断場所(リモートorオンサイト)
・オプションの有無(共通オプション参照)