Webアプリケーション脆弱性診断

手動診断による正確な診断と、簡潔明快な報告書・報告会が特徴です。
背景としては、脆弱性の影響や対処法による適切な判定があり、これは脆弱性診断において非常に重要なポイントであると考えています。

しばしば、サイトの「負荷」を気にされるお客様がいらっしゃいますが、負荷は基本的にはありません。
弊社は手動診断が主であること、負荷をかけないツール設定を実施しているためです。
なお、サイトに更新処理が発生するため、データベース内に無駄なレコードが残ったり、サイトが遅くなることがあります。
最悪のケースでは、データベースが破壊される可能性が有ります。
弊社ではこれらの影響を最小限に抑えるために、ウェブアプリケーションに対しては手動診断を実施しています。
このため、診断用のテスト環境やステージング環境での診断をお勧めしますが、本番環境を診断する場合は、事前のバックアップを確実に実施してください。

セキュリティ監査は、セキュリティのマネジメントシステムがポリシー通り適正に実施されていることを確認するためのものです。
一方、脆弱性検査（診断）は、ウェブサイトやソフトウェアに脆弱性がないか確認する技術的な検査です。
すなわち、監査はプロセスが重要ですが、診断はプロセスではなく脆弱性の有無のみに注目するものです。
目的に応じて使い分ける必要があります。

原則としてリモートでの診断を実施いたします。
一般利用者や外部からの攻撃者と同じ目線で、弊社オフィスからインターネットを経由して貴社サイトへアクセスし、様々な文字列を送信することにより診断いたします。

PC版とスマートフォン版の場合、別サイトとは数えず、単にページ数が増えただけと考えます。
そのため、基本料金は1サイト分のみとなりますので、単純に2倍とはなりません。
また、こちらはソフトウェアの作り方に大きく依存しますが、PC版とスマートフォン版とで中の処理が実質的に同じである場合には、どちらかの版で代表し、表示など差分のみ別の版で診断する場合もございます。
この場合は、1サイト分の費用あるいは少しの割増費用にて診断が可能になる場合もございます。
弊社にて確認は可能ですので、サイト閲覧に必要な情報を開示いただければ、確認させていただきます。
iOSとAndroidでのサービス提供においては、プラットフォームで呼び出し方が違う項目のみ、追加で診断する必要があるため、項目数に応じて費用が発生いたします。
呼び出し方が同一の場合、重複しての診断は必要ないと考えております。

動的なページは全て診断することが望ましいと考えております。
対象の判断について弊社にて確認は可能ですので、サイト閲覧に必要な情報を開示いただければ確認させていただきます。
どうしても予算に限りのある場合、特に診断対象のページをご指定いただくか、サイト構成を確認の上、こちらから優先度の高いページをご提案することも可能です。

プラットフォーム診断につきましては、既知の脆弱性が日々発見されますので、定期的な診断が必要と考えております。
アプリケーション診断につきましては、新たな攻撃手法が見出される可能性は低いため、アプリケーションに改修などの変更がなければ、定期的な診断は不要です。
アプリケーション改修などの際には、改修箇所を中心に、都度、診断を行うべきと考えます。

1画面に複数の機能がある場合、機能毎にカウントすることになります。便宜的に「画面数」と呼んでおりますが、正確には「リクエスト数」と呼ぶものでございます。
リクエスト数の説明としては、「画面遷移図を描いた場合の矢印の数」というものが分かりやすいのではないかと思います。
しかし、現実には2つのリクエストが実質同じ処理という場合もあり、その場合は1リクエストと相当になりますので、正確な見積もりを行うには、サイトにアクセスさせていただき、別途回答させていただきたく思います。