あなたのWebは安全ですか?
脆弱性診断の必要性
脆弱性診断は、お客様のWebサイト/Webアプリケーションに存在するセキュリティリスクを診断することでセキュリティ対策の実施を促すことを目的としています。
昨今ITサービスはますます需要が拡大しており、通販や会員サイトなど、インターネット上でのサービスを主な事業としている企業も数多くあります。安心/安全なサービスを提供するための最低限の自衛手段として、脆弱性診断を実施します。
具体的には、お客様のWebサイト/Webアプリケーションに各種疑似的な攻撃を行い、その過程および結果を分析考察することで、セキュリティリスクを調査し、結果のご報告・改善点のご提案をいたします。
Webサイト/Webアプリケーション利用者に、安心してサービスを受けていただくため、しっかりとセキュリティ品質を確保するには脆弱性診断は欠かせません。
脆弱性の被害
悪意をもった第三者に、Webブラウザやツールからの攻撃や侵入あってしまうと下記のような被害が想定されます。
被害者になるとともに、加害者にもなりえます。
| 原因例 | ・開発時の設計ミス、開発ミス ・Webサーバの設定ミス ・サポート切れ、脆弱性が残るミドルウェア |
| 被害例 | ・サーバダウン、サービス停止 ・個人情報の漏えい ・通販サイトにおける不正購入 |
主な診断項目
| 主な診断項目 | |
| 入出力処理 | クロスサイトスクリプティング、SQL インジェクション、コマンドインジェクション、フィッシング詐欺サイトへの誘導、パラメータ改ざん など |
| 認証 | ログインフォーム、ログインエラーメッセージ、ログイン・個人情報の送受信 など |
| 認可・権限 | 権限昇格、権限のない情報へのアクセス など |
| セッション | セッション固定、クロスサイトリクエストフォージェリ など |
| その他脆弱性 | 一般的な脆弱性 |
これらの項目を手動または自動で診断、その過程および結果を分析して、セキュリティリスクを可視化します。
診断の流れ
■設計時からの場合
テスト期間における脆弱性診断はもちろんですが、運用/保守における定期的な診断も必要になります。
■すでに運用中の場合
現在すでに稼働中のWebについても、診断いたします。
パドラック脆弱性診断サービスの提供
基本料金\110,000(税込み)~、となります。
| ステップ1 | ヒアリング | ヒアリングシートを用い、お客様のご要望に応じて診断内容・範囲を決定します。その後、お見積もりいたします。 (基本料金\110,000(税込み)+ページ数・項目数によるお見積もり) |
| ステップ2 | 診断 | 診断対象となるWebサイト/Webアプリケーションに手動または自動で各種擬似的な攻撃を行い診断します。自動診断ツール(OWASP ZAPなど)も併用し試験しています。 |
| ステップ3 | 分析 | 診断の過程および結果を元に脆弱性を検査し、セキュリティリスクを分析します。 |
| ステップ4 | 報告 | 診断の過程・結果および分析結果・セキュリティリスクをご報告します。 |
| ステップ5 | アフター | お客様においては、ご報告を元にシステムを改善していただき、改善後の診断が必要な場合は、再度診断・分析・報告を行います。また、定期的な診断にも対応します。 |
お客様で改善ができない場合には、ご相談ください。
お気軽にお問い合わせください。053-579-1830受付時間 9:00-17:00 [ 土・日・祝日除く ]
メールでのお問い合わせはこちら お気軽にお問い合わせください。