概要

セキュリティ専門家がお客様のWebサービスに対して脆弱性診断を行います。脆弱性を検知した場合には対策方法と優先度をセットで分かりやすくご報告するためスピーディな対策実施が可能です。

本サービスは経済産業省の定める「情報セキュリティサービス基準」に適合したサービスとして「情報セキュリティサービス基準適合サービスリスト」に登録されています。

背景

脆弱性とは不正アクセスやウイルス感染などの要因となる情報セキュリティ上の欠陥を指します。これはOSやソフトウェアにおいて、設計上の欠陥やプログラムの不具合により発生します。脆弱性対策を怠ると、脆弱性攻撃により情報漏洩やサービスの改ざん・停止などの被害を受け、経済的な損害や社会的信頼の失墜などの不利益を被ることが懸念されます。

脆弱性は自らが設計・開発したプログラムに加えて、プログラムの動作に必要なOSやプログラミング言語、ライブラリ上にも存在します。そのため、Webサービスへの不正アクセスや個人情報の流出を防ぐには、Webアプリケーションに加えて、OSやミドルウェア、データベースなどの脆弱性対策も必要です。しかし、新たな脆弱性が日々発見される現在、対策を漏れなく行うことは困難です。

セキュリティ診断は上記の脆弱性を網羅的に診断し、Webサービスの安全性の確保・維持を支援します。

脆弱性の例:SQLインジェクション

SQLインジェクションはSQL文を含むHTTPリクエストを送信することにより、Webサービスが想定しないデータベースの操作を行う攻撃です。WebサービスがSQLインジェクションに対して脆弱な場合、データベースの更新によるコンテンツの改ざんや、データベースに含まれる個人情報の窃取に悪用される恐れがあります。

脆弱性の例:クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリは、偽物のWebサイトなどを用意しWebサービスの利用者を誘導することで、利用者が想定していないWebサービスの操作を誘発する攻撃です。Webサービスがクロスサイトリクエストフォージェリに対して脆弱な場合、なりすましや本来ログインを要する情報の窃取に悪用される恐れがあります。

特徴

診断の種類、診断項目

■Webアプリケーション診断:WebアプリケーションやWebAPIを対象に、各種の診断パケットを送信してレスポンスの内容からWebサービスに潜む脆弱性を診断します。診断項目はOWASP Top 10に記載されているWebセキュリティとして警戒をしなければいけない項目を全てカバーしています。

■プラットフォーム診断:サーバやネットワーク機器を対象に、ミドルウェアに潜む脆弱性、OSやネットワークの設定の不備を診断します。

※Webアプリケーション診断のみ、プラットフォーム診断のみ実施も可能です。

診断方法

ツールによる自動診断と弊社のセキュリティ専門家による手動診断を組み合わせ、実際の攻撃手法に基づいた診断を行います。

自動診断はセキュリティ専門家が選定した実績あるツールを使用し、脆弱性情報を基に既知の脆弱性を網羅的に診断します。手動診断はお客さまのシステムに合わせ、Webアプリケーションの不具合や設計・実装の不備に起因する脆弱性を診断します。

診断結果のイメージ

Webアプリケーション診断

プラットフォーム診断

ソリューション・製品一覧へ