NECソリューションイノベータ
サイト内の現在位置
Webアプリケーション脆弱性診断サービス
Webアプリケーション脆弱性診断とは、攻撃者の観点で疑似攻撃を行い、データの改竄や情報漏洩といったリスクにつながるWebアプリケーションに潜む脆弱性を洗い出すことです。
一般的にWebアプリケーションは個別に作成される場合が多く、Webアプリケーションに潜む脆弱性はシステム固有のものとなります。攻撃者はシステム固有の脆弱性を突いてくるため、診断を行い、リスクを見える化し、リスクが顕在化しないよう対策していくことが重要です。本サービスではツールによる網羅的な診断と専門家によるシステム仕様に合わせた手動診断を組み合わせて行う事で、お客様のアプリケーションを細部まで検査し、お客様のシステムをサイバー攻撃から守る手助けを致します。
診断コース
ご予算に応じて、Light・Standard・Advancedの3つのコースをご用意しています。
| 診断 コース |
Light*1 | Standard | Advanced |
|---|---|---|---|
| このようなお客様に最適です | これまで一度も診断をうけたことがなく、まず状況を確認したいお客様 | しっかりと検査をして安全な 状態を保ちたいお客様 |
既に不安な箇所があり、徹底的に検査したいお客様 |
| 実施環境 | 制限なし(*2) | 評価・稼働前環境 | 制限なし |
| 実施方法 | インターネット経由 | インターネット経由 or オンサイト |
インターネット経由 or オンサイト |
| 画面数 | 5~20画面遷移 | 指定 | 指定 |
| 報告書 | 簡易版 | フル版 or 簡易版 | フル版 |
| 報告会 | なし | あり or なし | あり or なし |
- *1:IPAのウェブ健康診断仕様に準拠
https://www.ipa.go.jp/files/000017319.pdf - *2:診断対象環境は停止する可能性がありますので、お客様にて環境の退避・復帰をお願いします。
Lightコース
Webサイトの定期健康診断として、IPAのウェブ健康診断に準拠した検査により、
Webサイトの健康状態が把握可能となります。
診断項目(12項目)
- SQLインジェクション
- 意図しないリダイレクト
- クロスサイト・スクリプティング
- 不適切な認証
- クロスサイト・リクエスト・フォージェリ
- パストラバーサル
- OSコマンド・インジェクション
- セッション管理の不備
- ディレクトリ・リスティング
- アクセス制御の不備、欠落
- メールヘッダインジェクション
- クリックジャッキング *2
IPA「ウェブ健康診断仕様」*1に沿った検査パターンを実施します。
加えて、弊社独自の検査項目*2を追加して診断を実施します。
イメージ
検出された脆弱性を分析し、危険度や対処法をレポートします。
価格
300千円~500千円 ※価格は診断対象の画面遷移数によって異なります。
Standardコース
Webサイトの人間ドックとして、最新の脅威に対応した脆弱性診断を実施することにより、
Webサイトの詳細な脅威が把握可能となります。
主な診断項目(40項目以上)
- SQLインジェクション
- 意図しないリダイレクト
- クロスサイト・スクリプティング
- 不適切な認証
- クロスサイト・リクエスト・フォージェリ
- パストラバーサル
- OSコマンド・インジェクション
- セッション管理の不備
- ディレクトリ・リスティング
- アクセス制御の不備、欠落
- メールヘッダインジェクション
- クリックジャッキング
- 情報漏えい対策
- サーバ設定不備
攻撃に対するリスクを示すOWASP TOP 10*1や、当社における診断結果の統計から算出した頻出の脆弱性など最新の脅威に対応します。
- *1The Open Web Application Security Project(Webアプリケーションのセキュリティ向上を目的とした米国の団体)が、攻撃の難易度や攻撃を受けた場合の影響度等から算出した、脆弱性のリスクのランキングです。
イメージ
検出された脆弱性を分析し、危険度や対処法をレポートします。
また、報告会を実施し、検出された脆弱性の説明や影響、対処法などをわかりやすくご説明します。
価格
お問合せください。
- ※価格はシステムの規模、診断内容によって異なります。
出張費用等諸経費別となります。
Advancedコース
攻撃者の観点から、専門の技術者が実際に対象のシステムに対して侵入やサービス停止などの被害が発生しないかの調査を行います。
お問い合わせ