10,000件以上のサービス提供実績
LANSCOPE プロフェッショナルサービス
Webサイトからの情報漏えい対策など、Webセキュリティに関する総合的なソリューションを提供
近年、情報セキュリティの維持は企業の存続を左右しかねない重要な問題となっています。中でも、インターネット・Webサイトからの情報漏えいは依然として多発しており、その要因の多くが、Webアプリケーションの設計・開発の不備に起因すると指摘されています。当社のWebアプリケーション脆弱性診断サービスでは、脆弱性診断、リスク診断、脆弱性対策、開発プロセス改善策立案などを含む、Webセキュリティに関する総合的なソリューションを提供。セキュアなWebアプリケーションの構築・運用を支援します。
セキュリティ・スペシャリストによる、きめ細かく信頼性の高い診断を実施
PCサイトからモバイルサイトまで、多様なニーズに対応
当社のWebアプリケーション脆弱性診断サービスでは、セキュリティ・スペシャリストによる手作業の検査と、ソースコードの診断・分析を組み合わせ、きめ細かく信頼性の高いWebアプリケーション脆弱性診断サービスをご提供。PCサイトからモバイルサイトまで、お客様のニーズやコンテンツの構成にあわせて柔軟に対応します。詳細でわかりやすいレポートにより、お客様サイトの診断結果について把握いただくことができます。
診断精度:
Web健康診断 |
当社エンジニアによるマニュアル診断によって、実際のケースに現れる主要な脆弱性12項目に限定し診断を行います。Webサイトのセキュリティレベルを早急に把握できるWebアプリケーション脆弱性診断です。
※1サイト約10ページ程度の抜き取り診断となります。 |
---|---|
Essential Plan | ツールを併用した診断を行います。低価格で網羅的なWebアプリケーション脆弱性診断が可能です。 |
PCI DSS Plan | PCI DSS「要件6.5」、「要件6.6」、「要件11.3」に準拠するWebアプリケーション脆弱性診断を行います。 |
Standard Plan | 当社エンジニアによるマニュアル診断を行います。網羅的かつ高精度なWebアプリケーション脆弱性診断が可能です。また、脆弱性に加えセキュリティ上の改善事項をご提案することにより、さらなるセキュリティレベルの底上げを行うことができます。 |
Advanced Plan | Standard Planと同様の診断に加え、当社エンジニアによるソースコード診断を実施します。セキュリティ上の重要な部分に対してソースコード解析を行うことにより、潜在的な脆弱性の発見が可能なWebアプリケーション脆弱性診断です。 |
マニュアル | ツール | ソースコード診断 | 報告会 | 期間 | |
---|---|---|---|---|---|
Web健康診断 | ◎ | - | - | - | 3日 |
Essential Plan | ○ | ◎ | - | - | 1週間~ |
PCI DSS Plan | ◎ | ○ | - | オプション | 2週間~ |
Standard Plan | ◎ | ○ | - | オプション | 2週間~ |
Advanced Plan | ◎ | ◎ | ◎ | オプション | 2週間~ |
※期間は診断開始から納品までの期間ですが、対象サイトの規模により変動します。
Webアプリケーション脆弱性診断サービスの報告書は経営層の方にもお客様のサイトのリスクを把握していただくためのエグゼクティブサマリーや、発見された脆弱性とその根拠、対策方法、修正提言などをまとめたドキュメントとなります。
Webアプリケーション脆弱性診断サービスの診断結果は点数化されているため、現状のリスクを可視化することが可能です。
項目 | 内容 | ||
---|---|---|---|
1 | エグゼクティブサマリー | 総評、リスク、対策指針などをまとめます。 | |
2 | 診断結果 | セキュリティランク | サイトごとの総合スコアを記述します。 |
他社結果との比較 | 当社で実施した他社の診断実績を基に、算出されたセキュリティランクの位置付けを記述します。 | ||
脆弱性一覧 | サイトごとに検出された脆弱性の一覧を記述します。 | ||
3 | 脆弱性詳細 | 検出された脆弱性ごとに対策や検出例を記述します。 | |
4 | 診断概要 | 診断対象の一覧などを記述します。 |
Standard Plan、Advanced Plan、PCI DSS Plan
Web健康診断
精度の高いきめ細やかな診断
マニュアル診断*は、すべての診断項目を手作業で丁寧に診断します(効果的な診断が可能な手法です)。
Advanced Planでは当社エンジニアによるソースコード診断も提供。潜在的な脆弱性を発見します。
*Web健康診断のマニュアル診断は重要箇所のみとなります。
柔軟な対応
お客様の予算などのご要件に合わせたプランをご提案します。
マニュアル診断とツール診断の組み合わせや、診断対象を重要画面に絞る*など柔軟に対応します。
当社では経験豊富な多数の診断員を擁しておりますので、急な診断期間の変更などが発生した場合においても可能な限り調整します。
*本来はすべての画面を診断対象とすることを推奨しています。
充実した診断レポート
診断結果のサマリ、発見された脆弱性の検出数、脆弱性の詳細および危険度、対策アドバイスなど、お客様専用の報告書を提出します。
*報告会はWeb健康診断ではオプションとなります。
Webアプリケーション脆弱性診断サービスにおける認識合わせを目的とした事前ヒアリングから、診断中に危険度の高い脆弱性が発見された場合の緊急連絡、診断終了後には詳細な報告書をもとにした結果のご報告まで、きめ細やかなサービスを提供します。
診断項目
項目名 |
---|
不要なメソッド/サービスの稼動 |
バナーチェック |
プラットフォームの既知の脆弱性 |
ディレクトリ・リスティング |
強制ブラウジング |
診断項目
項目名 |
---|
エラー処理状況 |
ロジック流出 |
バックドア、デバックオプションの存在 |
ファイル機能(アップロード、ダウンロード) |
クロスサイト・リクエスト・フォージェリー |
アプリケーション・ログの取得 |
セキュア・プログラミング状況 |
レースコンディション(マルチスレッド) |
診断項目
項目名 |
---|
キャッシュ制御 |
通信の暗号化強度 |
リファラ情報 |
診断項目
項目名 |
---|
セッションID使用状況 |
Cookie使用状況 |
ログアウト機能 |
診断項目
項目名 |
---|
ユーザ認証処理 |
アカウントロック機能 |
ブルートフォース攻撃(辞書攻撃)耐性 |
アクセス権限 |
診断項目
項目名 |
---|
権限昇格 |
情報管理 |
パスワード使用状況 |
診断項目
項目名 |
---|
HTTPヘッダ・インジェクション |
メールヘッダ・インジェクション |
クロスサイト・スクリプティング |
SQLインジェクション |
OSコマンド・インジェクション |
パス・トラバーサル |
バッファ・オーバーフロー |
LDAPコマンド・インジェクション |
その他パラメータ操作 |
診断項目
項目名 |
---|
JavaScript許可状況 |
VBScript許可状況 |
JScript許可状況(IE限定) |
カスケーディング・スタイル・シート許可状況 |
JavaApplet使用状況チェック |
Ajax API実装チェック |
クライアント側コメント |
診断項目
項目名 |
---|
アクセス制御機能(ゲートウェイに依存する問題) |
携帯固有番号に依存する問題 |
文字コードに依存する問題 |
フルブラウザ許可状況 |
診断項目
項目名 |
---|
クライアント・アプリケーションに関する問題 |
その他、HTTPプロトコルに依存する問題 |
セキュリティに関する
お問い合わせ
サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。