ウェブアプリケーション脆弱性診断

スタンダード診断

スタンダード診断では、ウェブアプリケーションを操作しながらサイト全体の網羅的な診断を実施して脆弱性を検出します。ウェブアプリケーションの脆弱性診断としては、もっとも基本的で、応用範囲の広い方法です。

スタンダード診断は「OWASP Top 10 – 2013」や「安全なウェブサイトの作り方」に含まれるすべての脆弱性に対応しています。

※2019年9月からSSRF(Server Side Request Forgery)にも対応しました。
SSRFの詳細は弊社徳丸のブログ(SSRF(Server Side Request Forgery)徹底入門)をご参照ください。

スタンダード診断の特長は以下の通りです。
・診断による影響を最小化した安全な診断
・最新の攻撃手法に対応
・影響に対する適切な判断
・効果的な対策方法の指摘

報告書イメージ

プレミアム診断

プレミアム診断では、スタンダード診断で対応している脆弱性に加えて、「OWASP Top 10 – 2017」で追加された項目（A4:XXE・A8:Insecure Deserialization・A10:Insufficient Logging & Monitoring）も網羅しております。

※2019年9月からSSRF(Server Side Request Forgery)にも対応しました。
SSRFの詳細は弊社徳丸のブログ(SSRF(Server Side Request Forgery)徹底入門)をご参照ください。

プレミアム診断の特長は以下の通りです。
・スタンダード診断の内容、特長を網羅
・診断時に提出いただいた資料を診断の参考にした、スタンダード診断より高精度な診断
※精度の高い診断のためにソースコードを確認させていただくことが前提となります。

報告書イメージ

ライト診断

後述のウェブ健康診断の仕様により診断いたします。

報告書イメージ

ウェブ健康診断

ウェブ健康診断とは、(財)地方自治情報センター自治体セキュリティ支援室が策定した仕様に基づく診断です。現在、同仕様は維持・発展に係る業務が独立行政法人情報処理推進機構（IPA）に移管されています。
弊社代表の徳丸浩は、技術アドバイザーとして同仕様策定に協力いたしました。

EGセキュアソリューションズは、ウェブ健康診断仕様によるウェブアプリケーション簡易診断を民間企業その他団体向けに提供しています。
一般的には、ウェブアプリケーション簡易診断というと、2～3項目（SQLインジェクションとクロスサイトスクリプティングのみ、など）の診断が多いようですが、ウェブ健康診断仕様には13項目の診断項目が明確に定義されており、よりカバー範囲の広い診断を提供します。診断項目を以下に引用します。

※「クローラーへの耐性」についてはご希望のお客様のみ実施いたします。

報告書イメージ

脆弱性診断サービスお見積例

ケース１

ケース２

ケース３

FAQ

Q1. 他社との違いは？　差別化ポイントは？

A1. 手動診断による正確な診断と、簡潔明快な報告書・報告会が特徴です。
背景としては、脆弱性の影響や対処法による適切な判定があり、これは脆弱性診断において非常に重要なポイントであると考えています。

Q2. 診断作業時の悪影響はどんなものがあるか？

A2. しばしば、サイトの「負荷」を気にされるお客様がいらっしゃいますが、負荷はそれほどありません。弊社は手動診断が主であること、負荷をかけないツール設定を実施しているためです。
なお、サイトに更新処理が発生するため、データベース内に無駄なレコードが残ったり、サイトが遅くなることがあります。最悪のケースでは、データベースが破壊される可能性が有ります。弊社ではこれらの影響を最小限に抑えるために、ウェブアプリケーションに対しては手動診断を実施しています。
このため、診断用のテスト環境やステージング環境での診断をお勧めしますが、本番環境を診断する場合は、事前のバックアップを確実に実施してください。

Q3. 監査と診断は違うのか？

A3. セキュリティ監査は、セキュリティのマネジメントシステムがポリシー通り適正に実施されていることを確認するためのものです。一方、脆弱性検査（診断）は、ウェブサイトやソフトウェアに脆弱性がないか確認する技術的な検査です。
すなわち、監査はプロセスが重要ですが、診断はプロセスではなく脆弱性の有無のみに注目するものです。目的に応じて使い分ける必要があります。

Q4. プレミアム診断およびスタンダード診断とウェブ健康診断の違いは？

A4. プレミアム診断およびスタンダード診断では、お客様のサイト構成に併せ、基本的に全ページを対象に、弊社が想定する全項目の診断を実施します。そのため、費用はサイト規模により変動いたします。ウェブ健康診断は抜き取り検査で、費用は固定となります。当然ですが、通常の診断よりは精度は下がります。なお、ライト診断については、ウェブ健康診断の仕様で診断いたしますが、診断対象ページはお客さまにてお選びいただけます。

Q5. 診断は具体的にはどのように実施するのか？

A5. 原則としてリモートでの診断を実施いたします。一般利用者や外部からの攻撃者と同じ目線で、弊社オフィスからインターネットを経由して貴社サイトへアクセスし、様々な文字列を送信することにより診断いたします。

Q6. PC版とスマートフォン版、またiOSとAndroidでのサービス提供がある場合、それぞれの費用がかかるのか？

A6. PC版とスマートフォン版の場合、別サイトとは数えず、単にページ数が増えただけと考えます。そのため、基本料金は1サイト分のみとなりますので、単純に2倍とはなりません。
また、こちらはソフトウェアの作り方に大きく依存しますが、PC版とスマートフォン版とで中の処理が実質的に同じである場合には、どちらかの版で代表し、表示など差分のみ別の版で診断する場合もございます。
この場合は、1サイト分の費用あるいは少しの割増費用にて診断が可能になる場合もございます。
弊社にて確認は可能ですので、サイト閲覧に必要な情報を開示いただければ、確認させていただきます。

iOSとAndroidでのサービス提供においては、プラットフォームで呼び出し方が違う項目のみ、追加で診断する必要があるため、項目数に応じて費用が発生いたします。呼び出し方が同一の場合、重複しての診断は必要ないと考えております。

Q7. サイトの全てのページを診断する必要はあるか？　どのページを診断してよいかわからないのだが？

A7. 動的なページは全て診断することが望ましいと考えております。
対象の判断について弊社にて確認は可能ですので、サイト閲覧に必要な情報を開示いただければ確認させていただきます。
どうしても予算に限りのある場合、特に診断対象のページをご指定いただくか、サイト構成を確認の上、こちらから優先度の高いページをご提案することも可能です。

Q8. 診断は定期的に実施しなければならないか？

A8. プラットフォーム診断につきましては、既知の脆弱性が日々発見されますので、定期的な診断が必要と考えております。
アプリケーション診断につきましては、新たな攻撃手法が見出される可能性は低いため、アプリケーションに改修などの変更がなければ、定期的な診断は不要です。アプリケーション改修などの際には、改修箇所を中心に、都度、診断を行うべきと考えます。

Q9. 1つの画面内で複数の機能が実装されている場合でも、1画面のカウントとなるか？

A9. 1画面に複数の機能がある場合、機能毎にカウントすることになります。
便宜的に「画面数」と呼んでおりますが、正確には「リクエスト数」と呼ぶものでございます。リクエスト数の説明としては、「画面遷移図を描いた場合の矢印の数」というものが分かりやすいのではないかと思います。
しかし、現実には2つのリクエストが実質同じ処理という場合もあり、その場合は1リクエストと相当になりますので、正確な見積もりを行うには、サイトにアクセスさせていただき、別途回答させていただきたく思います。

脆弱性診断報告書サンプル　ダウンロード

以下のページのフォームを送信されますと、脆弱性診断報告書のサンプルをダウンロードURLを記載したメールが、ご記入されたメールアドレス宛に送信されます。

フォームを送信する前に「個人情報保護方針」をお読みください。

脆弱性診断報告書サンプル　ダウンロード

お申し込み頂きました方には、今後、EGセキュアソリューションズよりメール配信をさせて頂く場合がございます。

ご利用にあたっての注意事項