Webアプリケーション脆弱性診断

LANSCOPE プロフェッショナルサービス

12,000件以上のサービス提供実績

LANSCOPE プロフェッショナルサービス

Webアプリケーション診断とは

Webアプリケーション診断とは、自社のサーバーやネットワーク機器・OSにおけるセキュリティ上のリスクを診断するサービスです。
攻撃者の視点から疑似攻撃を実施することでインシデントの要因となる脆弱性を洗い出し、セキュリティ部門のプロフェッショナルが適切な対策をご提案します。

LANSCOPE プロフェッショナルサービスのWebアプリケーション診断 サービス内容

セキュリティ・スペシャリストによる、きめ細かく信頼性の高い診断を実施
PCサイトからモバイルサイト、WebAPIまで、多様なニーズに対応

LANSCOPE プロフェッショナルサービスのWebアプリケーション脆弱性診断サービスでは、セキュリティ・スペシャリストによる手作業の検査(マニュアル診断)とツール診断、より精度の高いソースコードの診断・分析の3種を組み合わせ、きめ細かく信頼性の高い脆弱性診断サービスをご提供。PCサイトからモバイルサイトまで、お客様のニーズやコンテンツの構成にあわせて柔軟に対応します。

また詳細でわかりやすいレポート報告により、お客様サイトの脆弱性や対策のポイントについて把握いただけます。脆弱性診断をはじめリスク診断、脆弱性対策、開発プロセス改善策立案といった総合的なソリューションを提供することで、お客様の安全なWebアプリケーションの構築・運用を支援します。

Webアプリケーション診断
の提供イメージ

サービスイメージ

Webアプリケーション診断の必要性

近年、情報セキュリティの維持は企業の存続を左右しかねない重要な問題となっています。中でも、インターネット・Webサイトからの情報漏えいは依然として多発しており、その要因の多くが「Webアプリケーションの設計・開発の不備」に起因すると指摘されています。

そのため各アプリケーションに潜むセキュリティ上の問題点を、セキュリティ診断の専門家によって攻撃者視点から検査・分析し、アプリケーションの安全性を確認することが重要です。また診断結果に基づいた対策を行うことで、SQLインジェクション、ディレクトリトラバーサル、クロスサイトスクリプティングといった脅威からの被害を未然に防止することが可能となります。

Webアプリケーション
診断を怠ることで
想定されるリスク

サービスイメージ

Webアプリケーション
診断 サービスメニュー

当社ではお客様の状態にあわせて、診断精度や期間・価格帯の異なる、5種類のWebアプリケーション診断メニューより最適なものをお選びいただけます。お客様の環境や予算・納期を踏まえて、最適なメニューをご提案いたします。

診断精度:Web健康診断(診断制度:低)~Advanced Plan(診断制度:高)の昇順となります。

Web健康診断 当社エンジニアによるマニュアル診断によって、実際のケースに現れる主要な脆弱性12項目に限定し診断を行います。Webサイトのセキュリティレベルを早急に把握できるWebアプリケーション診断です。

1サイト約10ページ程度の抜き取り診断となります。

Essential Plan ツールを併用した診断を行います。低価格で網羅的なWebアプリケーション診断が可能です。
PCI DSS Plan PCI DSS「要件6.5」、「要件6.6」、「要件11.3」に準拠するWebアプリケーション診断を行います。
Standard Plan 当社エンジニアによるマニュアル診断を行います。網羅的かつ高精度なWebアプリケーション診断が可能です。また、脆弱性に加えセキュリティ上の改善事項をご提案することにより、さらなるセキュリティレベルの底上げを行うことができます。
Advanced Plan Standard Planと同様の診断に加え、当社エンジニアによるソースコード診断を実施します。セキュリティ上の重要な部分に対してソースコード解析を行うことにより、潜在的な脆弱性の発見が可能なWebアプリケーション診断です。
マニュアル ツール ソースコード診断 報告会 期間
Web健康診断 - - - 3日
Essential Plan - - 1週間~
PCI DSS Plan - オプション 2週間~
Standard Plan - オプション 2週間~
Advanced Plan オプション 2週間~

期間は診断開始から納品までの期間ですが、対象サイトの規模により変動します。

LANSCOPE プロフェッショナルサービスの
Webアプリケーション診断が選ばれる3つの理由

  • POINT 01

    3つの手法で行う
    精度の高いきめ細やかな診断

    お客様の環境・ニーズに応じて、3つの手法から最適な脆弱性診断を行います。
    すべての診断項目を手作業で丁寧に実施する「マニュアル診断」では、効果的に細部の脆弱性を発見します。
    上記に加え、ツールの特性を最大限に活かした「ツール診断」でコストや診断期間を抑えることや、「ソースコード診断」で外側からは気づけない潜在的な脆弱性を発見することが可能です。

    *「Web健康診断」メニューのマニュアル診断は、重要箇所のみとなります。

  • POINT 02

    お客様ニーズに合わせた
    柔軟な対応

    お客様の予算などご要件に合わせて、最適なプランを提案いたします。
    マニュアル診断とツール診断とを組み合わせる・診断対象を重要画面に絞る*など、お客様のニーズに応じた診断が可能です。
    また当社には経験豊富な診断員が多数在籍しているため、急な診断期間の変更が発生した場合も、可能な限り調整いたします。報告書の個別カスタマイズも可能です。

    *本来はすべての画面を診断対象とすることを推奨しています。

  • POINT 03

    充実した
    わかりやすい診断レポート

    診断結果のサマリ、発見された脆弱性の検出数、脆弱性の詳細および危険度、対策アドバイスなど、どのような脆弱性でリスクがあるのか・どう対策すればいいのかを分かりやすくまとめた報告書を提出します。
    診断結果はスコアとして点数化することで、診断実施サイトが抱えるリスクをわかりやすく可視化します。
    またオンサイトでの報告会では、重大な脆弱性とその経営上のリスクを中心に、丁寧かつわかりやすい報告を行います。

Webアプリケーション診断の流れ

Webアプリケーション脆弱性診断サービスにおける認識合わせを目的とした事前ヒアリングから、診断中に危険度の高い脆弱性が発見された場合の緊急連絡、診断終了後には詳細な報告書をもとにした結果のご報告まで、きめ細やかなサービスを提供します。
診断はお客様の状況に合わせて「リモート」「オンサイト(現地)」からお選びいただけます。

Webアプリケーション診断 検査区分・診断項目

検査区分:サーバ設定
プラットフォームの設定や実装方法に不備が存在しないか検査します。

診断項目

項目名
不要なメソッド/サービスの稼動、バナーチェック、プラットフォームの既知の脆弱性
ディレクトリ・リスティング、強制ブラウジング
検査区分:アプリケーション
Webアプリケーションの実装方法に不備が存在しないか検査します。

診断項目

項目名
エラー処理状況、ロジック流出、バックドア、デバックオプションの存在
ファイル機能(アップロード、ダウンロード)、クロスサイト・リクエスト・フォージェリー
アプリケーション・ログの取得、セキュア・プログラミング状況、レースコンディション(マルチスレッド)
検査区分:通信
Webアプリケーションとサーバ間の通信に関して不備が存在しないか検査します。

診断項目

項目名
キャッシュ制御、通信の暗号化強度、リファラ情報
検査区分:セッション管理
セッションIDの取り扱いに不備が存在しないか検査します。

診断項目

項目名
セッションID使用状況、Cookie使用状況、ログアウト機能
検査区分:認証
ログインなどの認証時に不備が存在しないか検査します。

診断項目

項目名
ユーザ認証処理、アカウントロック機能、ブルートフォース攻撃(辞書攻撃)耐性、アクセス権限
検査区分:アカウント管理
ログインアカウントの取り扱いに不備が存在しないか検査します。

診断項目

項目名
権限昇格、情報管理、パスワード使用状況
検査区分:パラメータ操作
Webアプリケーションから送信されるパラメータを改変することで脆弱性が発生しないか検査します。

診断項目

項目名
HTTPヘッダ・インジェクション、メールヘッダ・インジェクション、クロスサイト・スクリプティング、SQLインジェクション
OSコマンド・インジェクション、パス・トラバーサル、バッファ・オーバーフロー、LDAPコマンド・インジェクション、その他パラメータ操作
検査区分:クライアント側スクリプト
Webアプリケーションで使用されているスクリプトに不備が存在しないか検査します。

診断項目

項目名
JavaScript許可状況、VBScript許可状況、JScript許可状況(IE限定)、カスケーディング・スタイル・シート許可状況
JavaApplet使用状況チェック、Ajax API実装チェック、クライアント側コメント
検査区分:モバイル固有の問題
モバイル端末に起因する脆弱性が存在しないか検査します。

診断項目

項目名
アクセス制御機能(ゲートウェイに依存する問題)、携帯固有番号に依存する問題、文字コードに依存する問題、フルブラウザ許可状況
検査区分:その他
上記以外に脆弱性が存在しないか検査します。

診断項目

項目名
クライアント・アプリケーションに関する問題、その他、HTTPプロトコルに依存する問題

Webアプリケーション診断 報告書

Webアプリケーション脆弱性診断サービスの報告書は、経営層の方にもお客様のサイトのリスクを把握していただくためのエグゼクティブサマリーや、発見された脆弱性とその根拠、対策方法、修正提言などをまとめたドキュメントとなります。
Webアプリケーション脆弱性診断サービスの診断結果は点数化されているため、現状のリスクを数値で可視化することが可能です。

Webアプリケーション診断 報告書の項目

Webアプリケーション診断の結果について、総合スコアや脆弱性の一覧・対策方法等をレポートとしてご報告します。

*「Web健康診断」のみ簡略化された報告内容になります。

項目 内容
1 エグゼクティブサマリー 総評、リスク、対策指針などをまとめます。
2 診断結果 セキュリティランク サイトごとの総合スコアを記述します。
他社結果との比較 当社で実施した他社の診断実績を基に、算出されたセキュリティランクの位置付けを記述します。
脆弱性一覧 サイトごとに検出された脆弱性の一覧を記述します。
3 脆弱性詳細 検出された脆弱性ごとに対策や検出例を記述します。
4 診断概要 診断対象の一覧などを記述します。

Webアプリケーション診断 報告書イメージ

診断結果の詳細がわかりやすくまとまった報告書を、PDFの形式で提供します。

Webアプリケーション診断の報告書サンプルをダウンロードいただけます。

ペネトレーションテスト報告書サンプル

シナリオ毎のテスト結果と、想定される被害・最適な対策方法を記載した報告書のサンプルをご覧いただけます。

お申し込みはこちら

価 格

料金は診断対象数やロケーションに応じて変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。

お見積もりを依頼する

よくあるご質問

  • Q.Webアプリケーション診断はどのくらいの頻度で行えばいいですか?
    A.Webアプリケーションの新規開発や更新によるリリース前には必ず診断を実施してください。また、リリースがなくても、脆弱性や攻撃手法は日々アップデートされるため、最低でも1年に1回の頻度で診断することを推奨しております。
  • Q.プラットフォーム 診断とWebアプリケーション診断とでは、何が違いますか?
    A.主に診断する対象が違います。プラットフォーム診断はOSやミドルウェアが対象であり、Webアプリケーション診断はその上で稼働するWebアプリケーションそのものが対象になります。
  • Q.管理しているシステムが多数ありますが、診断対象はどうやって選んだら良いですか?対象の洗い出しはしていただけますか?
    A.システムの公開範囲や取扱う情報や機能によって優先度を決めて、診断するシステムを選択することを推奨しております。また、各システムにおける診断対象(画面数)は動的に生成される画面となり、その中でも重要な機能や情報を取り扱う画面を優先的に診断することが望ましいです。動的な画面や重要な画面が不明な場合は弊社にて調査いたしますのでお気軽にお問合せください。
  • Q.・Webアプリケーション診断の価格は何で決まりますか?また見積もりには何が必要でしょうか?
    A.主にアプリケーションの規模(画面数やAPI数)で決まります。見積もりに際しては、規模(画面数やAPI数)の他に、リモートでの診断可否や、その他オプションの要否が必要になります
  • Q.httpやhttps以外の通信プロトコル以外の診断は対応可能ですか?
    A.可能です。特殊な形式の通信や他ベンダーでは実施できないといわれた通信でも診断できることがありますのでお気軽にご相談ください。

お客様の課題を解決する
最適なプランを
ご提案します。

まずはお気軽にお問い合わせください。

お問い合わせはこちら

WEBアプリケーション診断 簡易見積りをメールで受け取る

セキュリティに関する
お問い合わせ

サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。​

ヘルプデスクサポート

0120968995

平日 9:30 - 12:00、13:00 - 17:30
(祝祭除く)

© MOTEX Inc.