Webアプリケーション脆弱性診断とプラットフォーム診断は、対象とする範囲や目的が異なります。Webアプリケーション脆弱性診断は、主にWebサイトやWebアプリケーションに特化しており、SQLインジェクションやクロスサイトスクリプティング(XSS)など、Web特有の攻撃手法に対する脆弱性を検出します。
一方、プラットフォーム診断は、サーバーやネットワーク機器、オペレーティングシステムなど、ITインフラ全体を対象としています。
セキュリティ診断
Overview
Webアプリケーション脆弱性診断サービス(脆弱性検索)とは、WebサイトやWebアプリケーションに潜むセキュリティ上の脆弱性を洗い出して、修正及び報告する専門サービスです。
このサービスでは、SQLインジェクションやクロスサイトスクリプティング(XSS)、セッションハイジャックなど、さまざまな攻撃手法に対する脆弱性を検出します。
EGセキュアソリューションズの脆弱性診断サービスは、様々な検査手法を使い分け、貴社サイトに最適な方法によりWebアプリケーションの脆弱性を報告いたします。
新規Webアプリリリース前に脆弱性がないか調べたい
既存Webアプリの脆弱性有無を改修時/定期的にチェックをしたい
脆弱性に対して攻撃を受けてしまった(予兆があった)ので早期に改善したい
Webアプリケーション脆弱性診断とプラットフォーム診断は、対象とする範囲や目的が異なります。Webアプリケーション脆弱性診断は、主にWebサイトやWebアプリケーションに特化しており、SQLインジェクションやクロスサイトスクリプティング(XSS)など、Web特有の攻撃手法に対する脆弱性を検出します。
一方、プラットフォーム診断は、サーバーやネットワーク機器、オペレーティングシステムなど、ITインフラ全体を対象としています。
Webアプリケーション脆弱性診断とペネトレーションテストは、目的や手法に明確な違いがあります。Webアプリケーション脆弱性診断は、主にWebサイトやWebアプリケーションに存在する脆弱性を検出し、修正するための診断です。
一方、ペネトレーションテストは、実際の攻撃者の視点からシステムに侵入を試みることで、セキュリティの弱点を発見する手法です。システムの防御力を実際に試すことで、どの程度の攻撃に耐えられるかを評価することが目的です。
Webアプリケーション診断を怠ると、企業や組織はさまざまなリスクに直面する可能性があります。
まず第一に、未検出の脆弱性が攻撃者に悪用されるリスクが高まります。例えば、SQLインジェクションやクロスサイトスクリプティング(XSS)といった一般的な攻撃手法は、診断を行わない限り発見されにくく、攻撃者にとって格好の標的となります。
また、脆弱性が放置されることで、データ漏洩といった深刻なセキュリティインシデントが発生する可能性もあります。これにより、顧客情報や機密データが流出し、企業の信用が失墜するだけでなく、法的な責任を問われることもあります。
規模やスピード感に応じて専任診断チームを構築
開発ライフサイクル内への組み込みも可能
デポジット契約にて都度の契約対応も不要
弊社の「脆弱性診断サービス」は、「情報セキュリティサービス基準適合サービスリスト」(経産省)に登録されています
※登録している診断サービスメニューとしては「Webアプリケーション脆弱性診断」「プラットフォーム脆弱性診断」「スマートフォンアプリケーション脆弱性診断」となります。
経済産業省では、情報セキュリティサービスについて、⼀定の品質の維持・向上に努めていることを第三者が客観的に判断し明らかにするための基準として、情報セキュリティサービス基準 を設けて公表しています。弊社の脆弱性診断サービスは、「情報セキュリティサービス基準」に準拠し、認定登録されています。
情報セキュリティサービス基準審査制度:https://sss-erc.org/
弊社サービス掲載ページ:
https://sss-erc.org/iss_books/020-0012-20/
30万円~
※詳細はお問い合わせください
「安全なウェブサイトの作り方」「OWASP TOP10」の項目に沿った、網羅的で高精度な診断です。事前にヒアリングやサイト調査を行うことで、サイトの特性を踏まえた診断を実施します。
・個人情報や重要情報を多く扱うサイト
・SaaSサービス
・新規サービスのローンチ前の診断の他、APIの診断を実施したい時
ツール+手動での診断(ブラックボックス診断)
詳細な報告書+危険度の高い脆弱性は速報対応
無料 (報告書納品から3か月以内に1回)
※初回診断で指摘があった個所となります。(詳細は弊社担当者までご連絡ください)
※状況によってはお受けできない場合もございます。
大規模アパレルECサイト
金融系カスタマーシステム
HRTech SaaS など
※詳細はお問い合わせください
スタンダードプランの内容に加え、WebSocketやGraphQLの診断にも対応。また、オプションにて設計書やソースコードをお預かりし、ドキュメントレビューやソースコードのを確認しながらの診断も可能です。より高い安全性が求められるサイトや先進的な技術を用いたアプリケーションの診断にオススメです。
・より高い安全性が求められるサイト
・先進的な技術を用いたアプリケーションの診断
すべて手動での診断(一部ホワイトボックス診断含む)(補助的にツール使用する場合があります。)
詳細な報告書+危険度の高い脆弱性は速報対応
無料 (報告書納品から3か月以内に1回)
※初回診断で指摘があった個所となります。(詳細は弊社担当者までご連絡ください)
※状況によってはお受けできない場合もございます。
オンラインストレージサービス など
◎ | 標準的で網羅的な検査 |
---|---|
○ | 簡易的な検査 |
△ | 検査不可の場合有(ソースコード診断をお勧め) |
□ | ツールによるスキャンのみ |
カテゴリ | 診断項目 | スタンダード | プレミアム |
---|---|---|---|
パラメータ操作 | クロスサイト・スクリプティング(XSS) | ◎ | ◎ |
SQLインジェクション | ◎ | ◎ | |
HTTPヘッダ・インジェクション | ◎ | ◎ | |
メールヘッダ・インジェクション | ◎ | ◎ | |
OSコマンド・インジェクション | ◎ | ◎ | |
ディレクトリ・トラバーサル | ◎ | ◎ | |
evalインジェクション | △ | ◎ ※1 | |
ファイルインクルード攻撃 | ○ | ◎ | |
オープンリダイレクタ | ◎ | ◎ | |
リファラからの情報漏洩 | ◎ | ◎ | |
XML外部実態参照(XXE) | ◎ | ◎ ※2 | |
安全でないデシリアライゼーション | ○ | ◎ ※1 | |
コンテンツ | 公開ディレクトリチェック | ○ | ◎ |
ディレクトリ・リスティング | ◎ | ◎ ※3 | |
強制ブラウジング・不要なファイルの公開 | ○ | ◎ | |
キャッシュ制御 | ○ | ◎ | |
ファイル アップロード・ダウンロード |
アップロード機能の不備 | ○ | ◎ |
ダウンロード機能によるXSS | ○ | ◎ | |
ユーザーの意思に反した 機能実行 |
クロスサイト・リクエスト・フォージェリー(CSRF) | ◎ | ◎ |
クリックジャッキング | ○ | ◎ | |
通信暗号化 | SSL設定不備 | ○ | ◎ |
SSL使用状況 | ○ | ◎ | |
クッキーのセキュア属性不備 | ○ | ◎ | |
セッション管理 | セッションID使用状況 | ◎ | ◎ |
Cookie使用状況 | ○ | ◎ | |
ログアウト機能 | ○ | ◎ | |
セッションIDの固定化 | ◎ | ◎ | |
認証 | ユーザー認証処理 | ○ | ◎ |
アカウントロック機能 | ◎ | ◎ | |
自動ログインの不備 | ○ | ◎ | |
アクセス制御・認可 | アクセス制御不備 | ○ | ◎ |
認可不備 | ◎ | ◎ | |
アカウント管理 | パスワードの仕様 | ◎ | ◎ |
パスワードリマインダの不備 | ○ | ◎ | |
アプリケーション | エラー処理状況 | ○ | ◎ |
ロジック流出 | △ | ◎ ※1 | |
バックドア、デバックオプションの存在 | △ | ◎ ※4 | |
不十分なロギングおよび監視 | ○ ※5 | ||
仕様の不備 | セキュアな実装についての指摘 | ○ | ◎ |
診断対象サイトに関する情報を弊社フォーマットのヒアリングシートに記載していただき、御見積/スケジュール(仮)をご提示いたします。
正式にご発注後、診断スケジュールを確定いたします。
診断に必要なアカウントのご準備をしていただき、弊社にてアクセス確認を行います。
確定したスケジュールで診断を実施し、報告書を納品いたします。再診断の実施及び報告書の内容に関するお問合せをお受けします。
EGセキュアソリューションズ株式会社(以下、「当社」といいます。)が提供する脆弱性診断業務(以下、「本業務」といいます。)を利用していただくには、「脆弱性診断サービス利用約款」(以下、「本約款」といいます。)に同意のうえ、本約款を遵守していただく必要があります。
また、本約款は、本業務を利用するお客様と当社との間で定めるものです。
弊社の脆弱性診断の報告書の特徴
手動診断による正確な診断と、簡潔明快な報告書・報告会が特徴です。
背景としては、脆弱性の影響や対処法による適切な判定があり、これは脆弱性診断において非常に重要なポイントであると考えています。
しばしば、サイトの「負荷」を気にされるお客様がいらっしゃいますが、負荷は基本的にはありません。
弊社は手動診断が主であること、負荷をかけないツール設定を実施しているためです。
なお、サイトに更新処理が発生するため、データベース内に無駄なレコードが残ったり、サイトが遅くなることがあります。
最悪のケースでは、データベースが破壊される可能性が有ります。
弊社ではこれらの影響を最小限に抑えるために、ウェブアプリケーションに対しては手動診断を実施しています。
このため、診断用のテスト環境やステージング環境での診断をお勧めしますが、本番環境を診断する場合は、事前のバックアップを確実に実施してください。
セキュリティ監査は、セキュリティのマネジメントシステムがポリシー通り適正に実施されていることを確認するためのものです。
一方、脆弱性検査(診断)は、ウェブサイトやソフトウェアに脆弱性がないか確認する技術的な検査です。
すなわち、監査はプロセスが重要ですが、診断はプロセスではなく脆弱性の有無のみに注目するものです。
目的に応じて使い分ける必要があります。
原則としてリモートでの診断を実施いたします。
一般利用者や外部からの攻撃者と同じ目線で、弊社オフィスからインターネットを経由して貴社サイトへアクセスし、様々な文字列を送信することにより診断いたします。
PC版とスマートフォン版の場合、別サイトとは数えず、単にページ数が増えただけと考えます。
そのため、基本料金は1サイト分のみとなりますので、単純に2倍とはなりません。
また、こちらはソフトウェアの作り方に大きく依存しますが、PC版とスマートフォン版とで中の処理が実質的に同じである場合には、どちらかの版で代表し、表示など差分のみ別の版で診断する場合もございます。
この場合は、1サイト分の費用あるいは少しの割増費用にて診断が可能になる場合もございます。
弊社にて確認は可能ですので、サイト閲覧に必要な情報を開示いただければ、確認させていただきます。
iOSとAndroidでのサービス提供においては、プラットフォームで呼び出し方が違う項目のみ、追加で診断する必要があるため、項目数に応じて費用が発生いたします。
呼び出し方が同一の場合、重複しての診断は必要ないと考えております。
動的なページは全て診断することが望ましいと考えております。
対象の判断について弊社にて確認は可能ですので、サイト閲覧に必要な情報を開示いただければ確認させていただきます。
どうしても予算に限りのある場合、特に診断対象のページをご指定いただくか、サイト構成を確認の上、こちらから優先度の高いページをご提案することも可能です。
プラットフォーム診断につきましては、既知の脆弱性が日々発見されますので、定期的な診断が必要と考えております。
アプリケーション診断につきましては、新たな攻撃手法が見出される可能性は低いため、アプリケーションに改修などの変更がなければ、定期的な診断は不要です。
アプリケーション改修などの際には、改修箇所を中心に、都度、診断を行うべきと考えます。
1画面に複数の機能がある場合、機能毎にカウントすることになります。便宜的に「画面数」と呼んでおりますが、正確には「リクエスト数」と呼ぶものでございます。
リクエスト数の説明としては、「画面遷移図を描いた場合の矢印の数」というものが分かりやすいのではないかと思います。
しかし、現実には2つのリクエストが実質同じ処理という場合もあり、その場合は1リクエストと相当になりますので、正確な見積もりを行うには、サイトにアクセスさせていただき、別途回答させていただきたく思います。
Documents
関連資料
Other Services
その他サービス
※1:オプションのソースコード確認ありの場合
※2:オプションのソースコード確認ありの場合、より詳細な診断が可能です。
※3:サーバー内のデータ暗号化も確認します。
※4:診断の項目としてポートスキャンなども併用します。
※5:ヒアリングが必要です。