開発中のWebサービスに遅れが生じそう!リリース日までに診断をする時間が取れるか心配
他社のサイトが改ざんされる事故をみて、自社は大丈夫か心配
新規取引先から脆弱性診断の要求仕様が届いてしまったが自社のノウハウがない
Webアプリケーションの脆弱性を突き、情報窃取や改ざんをしてしまう
本来アクセスできないはずのディレクトリに不正にアクセス!
悪意のあるコードを埋め込みアクセスしたユーザーを感染させる
LANSCOPE プロフェッショナルサービスの
Webアプリケーション脆弱性診断で
解決できます
エムオーテックスの診断員が、インターネット経由でお客様環境にアクセス。
Webサーバーに搭載されたプログラムに対して診断を実施します。
お客様の状態にあわせて、診断精度や期間・価格帯の異なる、5種類のWebアプリケーション診断メニューごご用意。お客様の環境や予算・納期を踏まえて、最適なメニューをご提案します。
セキュリティエンジニアによる手作業の検査(マニュアル診断)とツール診断、より精度の高いソースコードの診断・分析の3種を組み合わせ、きめ細かく信頼性の高い脆弱性診断サービスをご提供します。
セキュリティレベルを数値化!知識が無くても理解できる分かりやすい内容。何をすべきか具体的な対策案まで掲載します。
エムオーテックスではお客様の状態にあわせて、診断精度や期間・価格帯の異なる、5種類のWebアプリケーション脆弱性診断メニューよりお選びいただけます。お客様の環境や予算・納期を踏まえて、メニューをご提案いたします。
| Web健康診断 | Essential Plan | PCI DSS Plan | Standard Plan | Advanced Plan | |
|---|---|---|---|---|---|
| 概要 | エンジニアによるマニュアル診断によって、実際のケースに現れる主要な脆弱性12項目に限定し診断を行います。Webサイトのセキュリティ レベルを早急に把握できるWebアプリケーション脆弱性診断です。 ※1サイト約10ページ程度の抜き取り診断となります。 |
ツールを併用した診断を行います。低価格で網羅的なWebアプリケーション脆弱性診断が可能です。 | PCI DSS「要件6.5」、「要件6.6」、「要件11.3」に準拠するWebアプリケーション脆弱性診断を行います。 | エンジニアによるマニュアル診断を行います。網羅的かつ高精度なWebアプリケーション脆弱性診断が可能です。また、脆弱性に加えセキュリティ上の改善事項をご提案することにより、さらなるセキュリティレベルの底上げを行うことができます。 | Standard Planと同様の診断に加え、エンジニアによるソースコード診断を実施します。セキュリティ上の重要な部分に対してソースコード解析を行うことにより、潜在的な脆弱性の発見が可能なWebアプリケーション脆弱性診断です。 |
| マニュアル | ◎ | ○ | ◎ | ◎ | ◎ |
| ツール | - | ◎ | ○ | ○ | ◎ |
| ソースコード診断 | - | - | - | - | ◎ |
| 報告会 | - | - | オプション | オプション | オプション |
| 期間 | 3日 | 1週間~ | 2週間~ | 2週間~ | 2週間~ |
経済産業省では、一定の品質の維持・向上が図られている情報セキュリティーサービスを明らかにすることを目的に情報セキュリティサービス基準を設けています。
LANSCOPE プロフェッショナルサービス の「Webアプリケーション脆弱性診断」は経済産業省の「情報セキュリティサービス」に準拠・認定されています。
事前ヒアリングから、診断中に危険度の高い脆弱性が発見された場合の緊急連絡、診断終了後には
詳細な報告書をもとにした結果のご報告まで、きめ細やかなサービスを提供します。
※スケジュールは一例です。選択するプランや規模や内容によって工程や診断に要する時間が変わる場合があります
※診断はお客様の状況に合わせて「リモート」「オンサイト(現地)」からお選びいただけます
エグゼクティブサマリーとして、レベルを数値化。誰でも同じ指標でレベルが分かります。さらに注意点と対策まで記入しているため、診断後の対応もスマートに取り掛かれます。
※自社顧客満足度アンケート結果
| 項目 | 内容 | ||
|---|---|---|---|
| 1 | エグゼクティブサマリー | 総評、リスク、対策指針などをまとめます。 | |
| 2 | 診断結果 | セキュリティランク | サイトごとの総合スコアを記述します。 |
| 他社結果との比較 | エムオーテックスで実施した他社の診断実績を基に、算出されたセキュリティランクの位置付けを記述します。 | ||
| 脆弱性一覧 | サイトごとに検出された脆弱性の一覧を記述します。 | ||
| 3 | 脆弱性詳細 | 検出された脆弱性ごとに対策や検出例を記述します。 | |
| 4 | 診断概要 | 診断対象の一覧などを記述します。 | |
経験豊富な専門家による信頼の診断
エムオーテックスは、20年の実績と12,000件以上の診断経験を持つ国家資格保有者が多数在籍しています。これにより、高度な技術力と信頼性の高い診断を提供し、開発者とセキュリティ管理者のニーズに応えます。
柔軟で効率的なサービス提供
エムオーテックスは、ビジネスニーズと予算に合わせた脆弱性診断プランを提案し、コスト効率を最大化します。納期や診断対象も柔軟に調整できるため、スケジュールに合わせた迅速な対応が可能です。
分かりやすい報告書と具体的な対策
診断後には、具体的な対策を含む分かりやすい診断報告書を提供します。これにより、開発チームが迅速に脆弱性を修正できるよう支援し、効果的なコミュニケーションで迅速な問題解決をサポートします。
診断項目
| 項目名 |
|---|
| 不要なメソッド/サービスの稼動、バナーチェック、プラットフォームの既知の脆弱性 |
| ディレクトリ・リスティング、強制ブラウジング |
診断項目
| 項目名 |
|---|
| エラー処理状況、ロジック流出、バックドア、デバックオプションの存在 |
| ファイル機能(アップロード、ダウンロード)、クロスサイト・リクエスト・フォージェリー |
| アプリケーション・ログの取得、セキュア・プログラミング状況、レースコンディション(マルチスレッド) |
診断項目
| 項目名 |
|---|
| キャッシュ制御、通信の暗号化強度、リファラ情報 |
診断項目
| 項目名 |
|---|
| セッションID使用状況、Cookie使用状況、ログアウト機能 |
診断項目
| 項目名 |
|---|
| ユーザ認証処理、アカウントロック機能、ブルートフォース攻撃(辞書攻撃)耐性、アクセス権限 |
診断項目
| 項目名 |
|---|
| 権限昇格、情報管理、パスワード使用状況 |
診断項目
| 項目名 |
|---|
| HTTPヘッダ・インジェクション、メールヘッダ・インジェクション、クロスサイト・スクリプティング、SQLインジェクション |
| OSコマンド・インジェクション、パス・トラバーサル、バッファ・オーバーフロー、LDAPコマンド・インジェクション、その他パラメータ操作 |
診断項目
| 項目名 |
|---|
| JavaScript許可状況、VBScript許可状況、JScript許可状況(IE限定)、カスケーディング・スタイル・シート許可状況 |
| JavaApplet使用状況チェック、Ajax API実装チェック、クライアント側コメント |
診断項目
| 項目名 |
|---|
| アクセス制御機能(ゲートウェイに依存する問題)、携帯固有番号に依存する問題、文字コードに依存する問題、フルブラウザ許可状況 |
診断項目
| 項目名 |
|---|
| クライアント・アプリケーションに関する問題、その他、HTTPプロトコルに依存する問題 |
セキュリティに関する
お問い合わせ
サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「脆弱性診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。
ヘルプデスクサポート
平日 9:30 - 12:00、13:00 - 17:30
(祝祭除く)
