セキュリティ診断サービス
TOP > 製品&サービス >

セキュリティ診断サービス(ITインフラ診断/Webアプリ診断)

専門家による診断でセキュリティホールを洗い出し、対策方法の提示までを支援します。

各種サーバなどに潜むセキュリティホールを専門家による診断で洗い出し、対策方法の提示までを支援します。
ブラックボックステスト(※1)を行い、コンテンツの利用目的に関わらず、検出されたセキュリティホールの深刻度を評価、ご報告します。
(※1)システム内部の処理動作はチェックせず、外部から見た機能(さまざまな入力に対しての出力結果)を確認するテストです。ITインフラ診断とWebアプリ診断がございます。

セキュリティホールを洗い出し

サービス提供までのフロー

サービス提供までのフロー

ITインフラ診断

サーバやネットワーク機器のOSやミドルウェアに対して設定不備やパッチ適用不備などによる脆弱性を検査し、ご報告します。
(注)どのネットワークから診断するのかによって可視化するリスクが異なります。「リモート診断」と「オンサイト診断」のどちらか(もしくは両方)をご選択頂きます。

主な診断項目

ポートスキャン調査 TCP/UDP に対してオープンポート状況を確認します。
バナー調査 オープンポートに対してバナー情報を収集します。
脆弱性スキャナによる脆弱性調査 OS や稼働サービスに内在する既知の脆弱性や設定不備を調査します。
アカウント調査 デフォルトアカウントや単純なパスワードの利用有無を調査します。
専門家による手動調査 脆弱性スキャナにて検出された脆弱性に対する追加調査を専門家が手動で実施します。

Webアプリ診断

Web アプリケーション(Web コンテンツ)に対して SQL インジェクションやクロスサイト・スクリプティング (XSS)などの脆弱性を検査し、ご報告します。
(注)診断では疑似攻撃を行うため、テスト環境などの影響が発生しても問題のない環境をご準備頂く必要があります。

Webアプリ診断

テキストボックスやラジオボタン、Hidden パラメータ等の入力パラメータ値を検査用の不正値(シグネチャ)に書き換えてリクエストを送付し、 そのレスポンスの内容から脆弱性の有無を判断します。(疑似攻撃に相当)

主な診断項目

SQLインジェクション SQL 文の組み立てに問題がある場合、データベースの不正利用を招く可能性があります。
クロスサイト・スクリプティング ウェブページへの出力処理に問題がある場合、利用者のブラウザ上で不正なスクリプトが実行される可能性があります。
クロスサイトリクエストフォージェリ 悪意ある人が用意した罠により利用者が予期しない処理を実行させられる可能性があります。
ディレクトリ・トラバーサル 外部からのファイル名指定の実装に問題がある場合、公開を想定していないファイルを参照される可能性があります。
OS コマンドインジェクション 悪意あるリクエストにより、ウェブサーバ側で意図しない OS コマンドを実行される可能性があります。
セッション管理の不備 セッション管理に不備がある場合、正当な利用者になりすましてコンテンツにアクセスされる可能性があります。

ソースコード診断

アプリケーションのソースコードに潜む脆弱性を検出し、対策方法をご報告します。 開発中(稼働中も可)のソースコードを解析することにより、アプリケーションの根本的なセキュリティ対策を支援します。

検出可能な脆弱性

SQLインジェクション セッション固定攻撃
クロスサイト・スクリプティング セッションポイズニング
コードインジェクション 補足されていない例外
バッファオーバーフロー 解放されていないリソース
パラメータの改ざん 検証されていない入力
クロスサイトリクエストフォージェリ URLリダイレクト攻撃
HTTPレスポンスの分割 危険なファイルアップロード
ログの偽装 ハードコーディングされたパスワード
DoS攻撃

対応言語

Java、Apex and VisualForce、C#、Ruby、JavaScript、VBScript、VB.NET、Perl、ASP、HTML5、VB6、Python、PHP、Groovy、C/C++、Scala、Android (Java)、PL/SQL、Objective C、GO、Swift

サポートするセキュリティガイドライン

OWASP Top 10、SANS、PCI DSS、HIPAA、CWE COMPATIBLE、BSIMM

価格

ヒアリングシートに基づいて、個別にお見積もりいたします。詳細は、お問い合わせください。

ご購入前のお問い合わせ

お問い合わせフォームへ