12,000件以上のサービス提供実績
LANSCOPE プロフェッショナルサービス
Webアプリケーション診断とは、自社のサーバーやネットワーク機器・OSにおけるセキュリティ上のリスクを診断するサービスです。
攻撃者の視点から疑似攻撃を実施することでインシデントの要因となる脆弱性を洗い出し、セキュリティ部門のプロフェッショナルが適切な対策をご提案します。
セキュリティ・スペシャリストによる、きめ細かく信頼性の高い診断を実施
PCサイトからモバイルサイト、WebAPIまで、多様なニーズに対応
LANSCOPE プロフェッショナルサービスのWebアプリケーション脆弱性診断サービスでは、セキュリティ・スペシャリストによる手作業の検査(マニュアル診断)とツール診断、より精度の高いソースコードの診断・分析の3種を組み合わせ、きめ細かく信頼性の高い脆弱性診断サービスをご提供。PCサイトからモバイルサイトまで、お客様のニーズやコンテンツの構成にあわせて柔軟に対応します。
また詳細でわかりやすいレポート報告により、お客様サイトの脆弱性や対策のポイントについて把握いただけます。脆弱性診断をはじめリスク診断、脆弱性対策、開発プロセス改善策立案といった総合的なソリューションを提供することで、お客様の安全なWebアプリケーションの構築・運用を支援します。
近年、情報セキュリティの維持は企業の存続を左右しかねない重要な問題となっています。中でも、インターネット・Webサイトからの情報漏えいは依然として多発しており、その要因の多くが「Webアプリケーションの設計・開発の不備」に起因すると指摘されています。
そのため各アプリケーションに潜むセキュリティ上の問題点を、セキュリティ診断の専門家によって攻撃者視点から検査・分析し、アプリケーションの安全性を確認することが重要です。また診断結果に基づいた対策を行うことで、SQLインジェクション、ディレクトリトラバーサル、クロスサイトスクリプティングといった脅威からの被害を未然に防止することが可能となります。
当社ではお客様の状態にあわせて、診断精度や期間・価格帯の異なる、5種類のWebアプリケーション診断メニューより最適なものをお選びいただけます。お客様の環境や予算・納期を踏まえて、最適なメニューをご提案いたします。
Web健康診断 |
当社エンジニアによるマニュアル診断によって、実際のケースに現れる主要な脆弱性12項目に限定し診断を行います。Webサイトのセキュリティレベルを早急に把握できるWebアプリケーション診断です。
※1サイト約10ページ程度の抜き取り診断となります。 |
---|---|
Essential Plan | ツールを併用した診断を行います。低価格で網羅的なWebアプリケーション診断が可能です。 |
PCI DSS Plan | PCI DSS「要件6.5」、「要件6.6」、「要件11.3」に準拠するWebアプリケーション診断を行います。 |
Standard Plan | 当社エンジニアによるマニュアル診断を行います。網羅的かつ高精度なWebアプリケーション診断が可能です。また、脆弱性に加えセキュリティ上の改善事項をご提案することにより、さらなるセキュリティレベルの底上げを行うことができます。 |
Advanced Plan | Standard Planと同様の診断に加え、当社エンジニアによるソースコード診断を実施します。セキュリティ上の重要な部分に対してソースコード解析を行うことにより、潜在的な脆弱性の発見が可能なWebアプリケーション診断です。 |
マニュアル | ツール | ソースコード診断 | 報告会 | 期間 | |
---|---|---|---|---|---|
Web健康診断 | ◎ | - | - | - | 3日 |
Essential Plan | ○ | ◎ | - | - | 1週間~ |
PCI DSS Plan | ◎ | ○ | - | オプション | 2週間~ |
Standard Plan | ◎ | ○ | - | オプション | 2週間~ |
Advanced Plan | ◎ | ◎ | ◎ | オプション | 2週間~ |
※期間は診断開始から納品までの期間ですが、対象サイトの規模により変動します。
3つの手法で行う
精度の高いきめ細やかな診断
お客様の環境・ニーズに応じて、3つの手法から最適な脆弱性診断を行います。
すべての診断項目を手作業で丁寧に実施する「マニュアル診断」では、効果的に細部の脆弱性を発見します。
上記に加え、ツールの特性を最大限に活かした「ツール診断」でコストや診断期間を抑えることや、「ソースコード診断」で外側からは気づけない潜在的な脆弱性を発見することが可能です。
*「Web健康診断」メニューのマニュアル診断は、重要箇所のみとなります。
お客様ニーズに合わせた
柔軟な対応
お客様の予算などご要件に合わせて、最適なプランを提案いたします。
マニュアル診断とツール診断とを組み合わせる・診断対象を重要画面に絞る*など、お客様のニーズに応じた診断が可能です。
また当社には経験豊富な診断員が多数在籍しているため、急な診断期間の変更が発生した場合も、可能な限り調整いたします。報告書の個別カスタマイズも可能です。
*本来はすべての画面を診断対象とすることを推奨しています。
充実した
わかりやすい診断レポート
診断結果のサマリ、発見された脆弱性の検出数、脆弱性の詳細および危険度、対策アドバイスなど、どのような脆弱性でリスクがあるのか・どう対策すればいいのかを分かりやすくまとめた報告書を提出します。
診断結果はスコアとして点数化することで、診断実施サイトが抱えるリスクをわかりやすく可視化します。
またオンサイトでの報告会では、重大な脆弱性とその経営上のリスクを中心に、丁寧かつわかりやすい報告を行います。
Webアプリケーション脆弱性診断サービスにおける認識合わせを目的とした事前ヒアリングから、診断中に危険度の高い脆弱性が発見された場合の緊急連絡、診断終了後には詳細な報告書をもとにした結果のご報告まで、きめ細やかなサービスを提供します。
診断はお客様の状況に合わせて「リモート」「オンサイト(現地)」からお選びいただけます。
診断項目
項目名 |
---|
不要なメソッド/サービスの稼動、バナーチェック、プラットフォームの既知の脆弱性 |
ディレクトリ・リスティング、強制ブラウジング |
診断項目
項目名 |
---|
エラー処理状況、ロジック流出、バックドア、デバックオプションの存在 |
ファイル機能(アップロード、ダウンロード)、クロスサイト・リクエスト・フォージェリー |
アプリケーション・ログの取得、セキュア・プログラミング状況、レースコンディション(マルチスレッド) |
診断項目
項目名 |
---|
キャッシュ制御、通信の暗号化強度、リファラ情報 |
診断項目
項目名 |
---|
セッションID使用状況、Cookie使用状況、ログアウト機能 |
診断項目
項目名 |
---|
ユーザ認証処理、アカウントロック機能、ブルートフォース攻撃(辞書攻撃)耐性、アクセス権限 |
診断項目
項目名 |
---|
権限昇格、情報管理、パスワード使用状況 |
診断項目
項目名 |
---|
HTTPヘッダ・インジェクション、メールヘッダ・インジェクション、クロスサイト・スクリプティング、SQLインジェクション |
OSコマンド・インジェクション、パス・トラバーサル、バッファ・オーバーフロー、LDAPコマンド・インジェクション、その他パラメータ操作 |
診断項目
項目名 |
---|
JavaScript許可状況、VBScript許可状況、JScript許可状況(IE限定)、カスケーディング・スタイル・シート許可状況 |
JavaApplet使用状況チェック、Ajax API実装チェック、クライアント側コメント |
診断項目
項目名 |
---|
アクセス制御機能(ゲートウェイに依存する問題)、携帯固有番号に依存する問題、文字コードに依存する問題、フルブラウザ許可状況 |
診断項目
項目名 |
---|
クライアント・アプリケーションに関する問題、その他、HTTPプロトコルに依存する問題 |
Webアプリケーション脆弱性診断サービスの報告書は、経営層の方にもお客様のサイトのリスクを把握していただくためのエグゼクティブサマリーや、発見された脆弱性とその根拠、対策方法、修正提言などをまとめたドキュメントとなります。
Webアプリケーション脆弱性診断サービスの診断結果は点数化されているため、現状のリスクを数値で可視化することが可能です。
Webアプリケーション診断の結果について、総合スコアや脆弱性の一覧・対策方法等をレポートとしてご報告します。
*「Web健康診断」のみ簡略化された報告内容になります。
項目 | 内容 | ||
---|---|---|---|
1 | エグゼクティブサマリー | 総評、リスク、対策指針などをまとめます。 | |
2 | 診断結果 | セキュリティランク | サイトごとの総合スコアを記述します。 |
他社結果との比較 | 当社で実施した他社の診断実績を基に、算出されたセキュリティランクの位置付けを記述します。 | ||
脆弱性一覧 | サイトごとに検出された脆弱性の一覧を記述します。 | ||
3 | 脆弱性詳細 | 検出された脆弱性ごとに対策や検出例を記述します。 | |
4 | 診断概要 | 診断対象の一覧などを記述します。 |
診断結果の詳細がわかりやすくまとまった報告書を、PDFの形式で提供します。
Standard Plan、Advanced Plan、PCI DSS Plan、Essential Plan
Web健康診断
料金は診断対象数やロケーションに応じて変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。
経済産業省では、一定の品質の維持・向上が図られている情報セキュリティーサービスを明らかにすることを目的に情報セキュリティサービス基準を設けています。
LANSCOPE プロフェッショナルサービス の「ネットワーク診断(プラットフォーム診断)」は経済産業省の「情報セキュリティサービス」に準拠・認定されています。
セキュリティに関する
お問い合わせ
サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。