Webアプリケーション脆弱性診断

LANSCOPE プロフェッショナルサービス

10,000件以上のサービス提供実績

LANSCOPE プロフェッショナルサービス

WEBアプリケーション診断とは

Webサイトからの情報漏えい対策など、Webセキュリティに関する総合的なソリューションを提供

近年、情報セキュリティの維持は企業の存続を左右しかねない重要な問題となっています。中でも、インターネット・Webサイトからの情報漏えいは依然として多発しており、その要因の多くが、Webアプリケーションの設計・開発の不備に起因すると指摘されています。当社のWebアプリケーション脆弱性診断サービスでは、脆弱性診断、リスク診断、脆弱性対策、開発プロセス改善策立案などを含む、Webセキュリティに関する総合的なソリューションを提供。セキュアなWebアプリケーションの構築・運用を支援します。

Webアプリケーションの
危険性イメージ

Webアプリケーションの危険性イメージ

脆弱性の原因と被害例

  • 原因:
    • アプリケーション開発時の設計ミス、開発ミス
    • Webサーバの設定ミス
    • サポート切れや脆弱性が報告されているミドルウェアの使用
  • 被害例:
    • サーバダウン、サービス停止
    • 個人情報の漏えい
    • ECサイトにおける価格を改ざんした不正購入
    • 信用失墜(マスコミや特定掲示板での情報公開)

サービス内容

セキュリティ・スペシャリストによる、きめ細かく信頼性の高い診断を実施
PCサイトからモバイルサイトまで、多様なニーズに対応

当社のWebアプリケーション脆弱性診断サービスでは、セキュリティ・スペシャリストによる手作業の検査と、ソースコードの診断・分析を組み合わせ、きめ細かく信頼性の高いWebアプリケーション脆弱性診断サービスをご提供。PCサイトからモバイルサイトまで、お客様のニーズやコンテンツの構成にあわせて柔軟に対応します。詳細でわかりやすいレポートにより、お客様サイトの診断結果について把握いただくことができます。

サービスイメージ

サービスイメージ

Webアプリケーション
脆弱性診断サービスメニュー

診断精度:Web健康診断(診断制度:低)~Advanced Plan(診断制度:高)の昇順となります。

Web健康診断 当社エンジニアによるマニュアル診断によって、実際のケースに現れる主要な脆弱性12項目に限定し診断を行います。Webサイトのセキュリティレベルを早急に把握できるWebアプリケーション脆弱性診断です。

1サイト約10ページ程度の抜き取り診断となります。

Essential Plan ツールを併用した診断を行います。低価格で網羅的なWebアプリケーション脆弱性診断が可能です。
PCI DSS Plan PCI DSS「要件6.5」、「要件6.6」、「要件11.3」に準拠するWebアプリケーション脆弱性診断を行います。
Standard Plan 当社エンジニアによるマニュアル診断を行います。網羅的かつ高精度なWebアプリケーション脆弱性診断が可能です。また、脆弱性に加えセキュリティ上の改善事項をご提案することにより、さらなるセキュリティレベルの底上げを行うことができます。
Advanced Plan Standard Planと同様の診断に加え、当社エンジニアによるソースコード診断を実施します。セキュリティ上の重要な部分に対してソースコード解析を行うことにより、潜在的な脆弱性の発見が可能なWebアプリケーション脆弱性診断です。
マニュアル ツール ソースコード診断 報告会 期間
Web健康診断 - - - 3日
Essential Plan - - 1週間~
PCI DSS Plan - オプション 2週間~
Standard Plan - オプション 2週間~
Advanced Plan オプション 2週間~

期間は診断開始から納品までの期間ですが、対象サイトの規模により変動します。

報告書について

Webアプリケーション脆弱性診断サービスの報告書は経営層の方にもお客様のサイトのリスクを把握していただくためのエグゼクティブサマリーや、発見された脆弱性とその根拠、対策方法、修正提言などをまとめたドキュメントとなります。
Webアプリケーション脆弱性診断サービスの診断結果は点数化されているため、現状のリスクを可視化することが可能です。

報告書の構成
(Standard Plan、Advanced Plan、PCI DSS Plan)

項目 内容
1 エグゼクティブサマリー 総評、リスク、対策指針などをまとめます。
2 診断結果 セキュリティランク サイトごとの総合スコアを記述します。
他社結果との比較 当社で実施した他社の診断実績を基に、算出されたセキュリティランクの位置付けを記述します。
脆弱性一覧 サイトごとに検出された脆弱性の一覧を記述します。
3 脆弱性詳細 検出された脆弱性ごとに対策や検出例を記述します。
4 診断概要 診断対象の一覧などを記述します。

報告書イメージ

特徴

  • POINT 01

    精度の高いきめ細やかな診断

    マニュアル診断*は、すべての診断項目を手作業で丁寧に診断します(効果的な診断が可能な手法です)。
    Advanced Planでは当社エンジニアによるソースコード診断も提供。潜在的な脆弱性を発見します。

    *Web健康診断のマニュアル診断は重要箇所のみとなります。

  • POINT 02

    柔軟な対応

    お客様の予算などのご要件に合わせたプランをご提案します。
    マニュアル診断とツール診断の組み合わせや、診断対象を重要画面に絞る*など柔軟に対応します。
    当社では経験豊富な多数の診断員を擁しておりますので、急な診断期間の変更などが発生した場合においても可能な限り調整します。

    *本来はすべての画面を診断対象とすることを推奨しています。

  • POINT 03

    充実した診断レポート

    診断結果のサマリ、発見された脆弱性の検出数、脆弱性の詳細および危険度、対策アドバイスなど、お客様専用の報告書を提出します。

    • 診断結果を点数化。診断実施サイトが抱えるリスクを可視化します。
    • オンサイトでの報告会*では、重大な脆弱性とその経営上のリスクを中心に、わかりやすく報告いたします。

    *報告会はWeb健康診断ではオプションとなります。

サービスフロー

Webアプリケーション脆弱性診断サービスにおける認識合わせを目的とした事前ヒアリングから、診断中に危険度の高い脆弱性が発見された場合の緊急連絡、診断終了後には詳細な報告書をもとにした結果のご報告まで、きめ細やかなサービスを提供します。

主な検査項目

検査区分:サーバ設定
プラットフォームの設定や実装方法に不備が存在しないか検査します。

診断項目

項目名
不要なメソッド/サービスの稼動
バナーチェック
プラットフォームの既知の脆弱性
ディレクトリ・リスティング
強制ブラウジング
検査区分:アプリケーション
Webアプリケーションの実装方法に不備が存在しないか検査します。

診断項目

項目名
エラー処理状況
ロジック流出
バックドア、デバックオプションの存在
ファイル機能(アップロード、ダウンロード)
クロスサイト・リクエスト・フォージェリー
アプリケーション・ログの取得
セキュア・プログラミング状況
レースコンディション(マルチスレッド)
検査区分:通信
Webアプリケーションとサーバ間の通信に関して不備が存在しないか検査します。

診断項目

項目名
キャッシュ制御
通信の暗号化強度
リファラ情報
検査区分:セッション管理
セッションIDの取り扱いに不備が存在しないか検査します。

診断項目

項目名
セッションID使用状況
Cookie使用状況
ログアウト機能
検査区分:認証
ログインなどの認証時に不備が存在しないか検査します。

診断項目

項目名
ユーザ認証処理
アカウントロック機能
ブルートフォース攻撃(辞書攻撃)耐性
アクセス権限
検査区分:アカウント管理
ログインアカウントの取り扱いに不備が存在しないか検査します。

診断項目

項目名
権限昇格
情報管理
パスワード使用状況
検査区分:パラメータ操作
Webアプリケーションから送信されるパラメータを改変することで脆弱性が発生しないか検査します。

診断項目

項目名
HTTPヘッダ・インジェクション
メールヘッダ・インジェクション
クロスサイト・スクリプティング
SQLインジェクション
OSコマンド・インジェクション
パス・トラバーサル
バッファ・オーバーフロー
LDAPコマンド・インジェクション
その他パラメータ操作
検査区分:クライアント側スクリプト
Webアプリケーションで使用されているスクリプトに不備が存在しないか検査します。

診断項目

項目名
JavaScript許可状況
VBScript許可状況
JScript許可状況(IE限定)
カスケーディング・スタイル・シート許可状況
JavaApplet使用状況チェック
Ajax API実装チェック
クライアント側コメント
検査区分:モバイル固有の問題
モバイル端末に起因する脆弱性が存在しないか検査します。

診断項目

項目名
アクセス制御機能(ゲートウェイに依存する問題)
携帯固有番号に依存する問題
文字コードに依存する問題
フルブラウザ許可状況
検査区分:その他
上記以外に脆弱性が存在しないか検査します。

診断項目

項目名
クライアント・アプリケーションに関する問題
その他、HTTPプロトコルに依存する問題

お客様の課題を解決する
最適なプランを
ご提案します。

まずはお気軽にお問い合わせください。

お問い合わせはこちら

セキュリティに関する
お問い合わせ

サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。​

ヘルプデスクサポート

0120968995

平日 9:30 - 12:00、13:00 - 17:30
(祝祭除く)

© MOTEX Inc.