ツール診断と併せて専門エンジニアの手動診断で情報漏えい事故などのリスクを
未然に回避

専門エンジニアによる脆弱性手動診断

脆弱性手動診断サービスのWebSiteScan Proは、ツール診断と併せて専門のエンジニアの手動診断により、ツール診断ではカバーしきれないセッション管理系の脆弱性診断も行います。 「ECサイトのセキュリティを対策したい」「大量の個人情報を扱っている」などのお客さまにおすすめのセキュリティ診断サービスです。

信頼できる脆弱性診断を可能にする2つのポイント

信頼できる脆弱性検査を可能にする当社の3つのポイント

理想的なWebアプリケーション脆弱性検査は、実際にユーザがアクセスする場合と同じ環境で検査をすることですが、運用中のECサイトなどでは商品購入や登録確認メールの配信などが発生しないように注意する必要があります。その為、すべての機能の検査が出来ず、脆弱性が潜在し続ける場合があります。

本サービスは、可能な限り実際に起こるアクセスに近い状態で検査を行うため、検査対象となるWebアプリケーションの情報収集を徹底して行い、検査時におけるリスクを把握した上で診断を実施いたします。システムリリース前の最終確認や、現在運用中のWebアプリケーションにも安心してご利用いただけます。

  • ポイント1事前ヒアリングで得た情報を元に、検査時に発生しうる
    リスクを分析します。
  • ポイント2検証結果を検査手順書に整理することで、実際の検査時の問題を
    未然に防ぎます。

診断対象に適したプランの選択で高コストパフォーマンスを実現

診断対象システム(Webアプリケーション)の特性や、お客さまのご予算に合わせ、各メニューを組合せてご利用いただけます。たとえば、「ログイン機能のみの診断」というご要望や「全体的に診断したい」というご要望などお応えすることが可能です。

専門のセキュリティエンジニアによる細やかなサポート体制

当社の専門のセキュリティエンジニアが対象システムを確認させていただき、診断手法、診断すべき箇所の選定などをサポートいたします。お客さまに安心してご利用いただけるよう、きめ細やかなサポート体制をご用意しております。

これまでの診断ツールでは難しかった機能別の診断が可能

当社のサービスではこれまでの自動ツール診断では難しかった機能別の診断を独自ツール開発および手動診断により、高品質で安価なサービスを実現いたしました。
もちろん常に最新の脆弱性情報を収集し、サービスに反映させています。

エンジニア手動によるPCIDSS、OWASP-Web-Testing Guide/OWASP Top 10に
基づくWebアプリケーション/Web APIの脆弱性診断

脆弱性手動診断サービス(WebSiteScan Pro)はツール診断ではカバーできないセッション管理系の診断項目に加え、クレジットカード業界の情報セキュリティ基準であるPCI DSSの診断項目やセキュリティ診断のグローバル・スタンダードであるOWASPに基づいた診断項目に沿ってWebアプリケーションやWeb/API診断が可能です。またモダンWebと呼ばれているSPA(Single Page Application)やPWA(Progressive Web Apps)の診断にも対応しています。

クレジットカード業界の情報セキュリティ基準であるPCI DSSの診断項目

PCI DSS(Payment Card Industry Data Security Standard)

クレジットカード

PCI DSSとはクレジットカード業界におけるグローバルセキュリティ基準のことです。加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

セキュリティ診断のグローバル・スタンダードであるOWASPに基づいた診断項目

OWASP(Open Web Application Security Project)

owasp

OWASPとは世界のセキュリティ専門家による診断の標準や規格を策定する組織のことです。Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。

モダンWebの脆弱性診断

モダンWeb

モダンWebとはパソコン、スマートフォン、タブレットなどマルチデバイスに対応しやすく、新たなUX(「ユーザエクスペリエンス」ユーザ体験)を創出するWebサイトです。

モダンWebの反対語にレガシーWebのMPA(Multiple or Multi Page Application)があります。MPAは一般的なホームページのように複数のページで構成されているWebサイトです。SEO(検索エンジン最適化)やアプリケーション内の構造の管理がしやすいことがメリットですが、ファイルの読み込み通信が頻繁に発生し表示に時間がかかることや、中大規模サイトになると構造が複雑になり管理が大変になることや、モバイル向けサイトのUI設計が難しくなることがデメリットになります。モダンWebはMPAのデメリットを解決すするために考えられた技術で、特に注目されているものはSPA(Single Page Application)やPWA(Progressive Web Apps)と呼ばれるものです。

SPA(Single-Page Application)

SPAは単一のHTMLで構成されているWebサイトでファイル読み込みが初回アクセス時に全て済むため読み込み時間が短く高速な処理ができるため複雑なアニメーションが表現できるなどリッチなコンテンツを提供することが出来ます。またSPA+APIで実装できるためモバイルアプリと同じバックエンドを利用できることやモバイル向けのサイトとあわせてUI設計がしやすいこともメリットで、スマートフォンとも相性がよい技術です。MPAと比較してSPAに多い脆弱性を狙った攻撃はクロスサイトスクリプティング(XSS)と呼ばれるもので、脆弱性のあるサイトにスクリプトが埋め込まれるところから攻撃が始まり、掲示板サイトやTwitterのような、ユーザからの入力内容をWebページに表示するWebアプリケーション(「インタラクティブ(相互作用、双方向)」サイト)において、Webサイトの脆弱性を利用した攻撃手法を指します。インタラクティブなSPAは攻撃を受けやすい為、安全性が劣ることもありWebアプリケーション脆弱性手動診断サービスを実施することが必要とされます。

PWA(Progressive Web Apps)

PWAとはウェブとアプリの良いところを取ったもので、ネイティブアプリのような操作性や表現力を持っているWebアプリケーションのことです。ストアダウンロードが不要で提供できることやキャッシュを使う技術のため低用量のアプリでスマートフォンのストレージを圧迫しないで利用できる点も優れています。TwitterやInstagram、GooglePhotoなどが有名なサービスです。当社ではPWAにも対応できるWebアプリケーション脆弱性手動診断サービスを提供しています。

Web API(Application Programming Interface)

APIとはソフトウェアからOSの機能を利用するための仕様またはインターフェースの総称で、アプリケーションの開発を容易にするためのソフトウェア資源のことです。Webで利用する場合、公開されているWeb APIは「Facebook」「Twitter」「YouTube」「Googleマップ」などが有名でアプリ開発などでよく利用されるものです。SPAやPWAのアプリ開発を実施する場合はWeb APIの利用は欠かせ無いものになっており、合わせて脆弱性診断を実施することでモダンWeb全体のセキュリティ対策を実現できます。

中〜大規模システムに対して、脆弱性スキャナ"Nessus"を用いたプラットフォーム診断と、セキュリティエンジニアによる結果分析とレポート作成を実施

脆弱性手動診断サービス(WebSiteScan Pro)は包括的な脆弱性検知スキャナ"Nessus"を利用しシステム上の潜在的な脆弱性を検知します。セキュリティエンジニアの結果分析によるレポートを作成し診断結果を提示します。中〜大規模システムに適した診断方法で「ペネトレーションテスト」と同時に実施することが、より効果的でシステム全体の観点から見たときに、不正侵入できる弱点を把握することができ脆弱性の発見から悪用できる可能性があるかまで細かく分析します。

海外ベンダーとの協業による提供

当社が協業している海外ベンダーは、高い技術力を持つハッカー集団により構成された技術集団で実践的なハッキング技術と知識を強みとし様々なセキュリティサービスを提供しております。あらゆる診断手法を用い、脆弱性スキャン後もセキュリティエンジニアの専門的な観点から結果を分析し、講じるべき対策が書かれているレポートはポイントを抑えてまとめております。

診断方法はリモートとオンサイトに対応

リモート診断はお客様のシステム環境内に脆弱性スキャナをインストールしリモート操作による診断を実施します。脆弱性スキャナ"Nessus"はコンピュータセキュリティに関して開発した包括的な脆弱性検知スキャナでシステムの潜在的な脆弱性を検知することが出来ます。簡単な操作方法で脆弱性の場所と対処方法を容易に把握でき、脆弱性を複数のカテゴリ別にグループ化する機能や最新の公開された脆弱性のテストに対してのスキャンは過去の履歴データを使用できるライブ結果機能なども存在します。それらの機能を活用したレポートは正確かつ丁寧な内容になっており、Nessusは世界的なシェアで脆弱性評価のNo.1のスキャナと言われております。
オンサイト診断はお客様のオフィスやデータセンターを訪問し、お客様の内部ネットワークなどから診断をします。内部ネットワークに接続された機器の脆弱性やサーバなどの脆弱性を確認します。

PCI DSS要件11.2ガイドラインに基づく内部脆弱性診断にも対応可能

PCI DSS要件11.2は以下の条件が求められています。四半期ごと、およびシステムの大幅な変更後、および基準値を超えた脆弱性検出時に内部と外部ネットワークに対する脆弱性診断を少なくとも1回は実施することです。
ネットワークの脆弱性診断は2種類存在し外部ネットワークと内部ネットワークに分かれます。特に外部ネットワーク診断は標的型攻撃の脅威に対するリスクなどを調査することが中心となるため、ペネトレーションテストによる実践的な攻撃手法を用いたテストと組み合わせることで、システムへの不正侵入に対する防御力を厳密に調査することが可能です。
ちなみにPCI DSS要件11.3は年に一回、およびシステムの大きな変更後や、脆弱性検出時のペネトレーションテスト実施が条件として求められています。これらの内容を実施することでPCI DSS要件11.2の内部ネットワークに対する脆弱性診断とPCI DSS要件11.3を満たすことが可能となります。

※ PCI DSS要件11.2:当社はASV認定ベンダーではありませんので外部ネットワークの要件を満たすことは出来ませんが同様に外部ネットワーク診断の実施も可能です

診断項目

Webアプリケーション手動診断サービス

認証 ログイン
その他
セッション管理 Cookieの取り扱い
セッションID
クロスサイトリクエストフォージェリ
入出力処理 SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
コマンドインジェクション
改行インジェクション
リンクインジェクション
パラメータ推測
HTTPレスポンス分割
SSIインジェクション
オープンリダイレクト
リクエスト改竄
その他
画面遷移 重要の更新
権限昇格
ユーザ管理 履歴
パスワード
暗号 通信の暗号化
ロジック流出 バッグドアとデバッグオプション
エラー処理
情報公開
コメント
メール スパムメール
画面設計 不適切な画面設計
ユーザへの説明
一般的な脆弱性 既知のソフトウェア脆弱性
強制ブラウジング
ディレクトリリスティング
ファイルダウンロード・アップロードの問題
Webサーバ設定 システム情報の開示
不要なメソッド
ディレクトリ存在の確認
サーバエラーメッセージ

Webアプリケーションツール診断

セッション管理 Cookieの取り扱い
セッションID
クロスサイトリクエストフォージェリ
入出力処理 SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
コマンドインジェクション
改行インジェクション
リンクインジェクション
パラメータ推測
HTTPレスポンス分割
SSIインジェクション
オープンリダイレクト
リクエスト改竄
その他
ロジック流出 バッグドアとデバッグオプション
エラー処理
情報公開
コメント
一般的な脆弱性 強制ブラウジング
ディレクトリリスティング
Webサーバ設定 システム情報の開示
不要なメソッド
ディレクトリ存在の確認
サーバエラーメッセージ

プラットフォーム脆弱性手動診断サービス

主な診断項目 ホストのスキャン
ネットワークサービスの脆弱性
Webサーバーの脆弱性
各種OSの脆弱性
悪意あるソフトウェア
ネットワーク機器の脆弱性
その他ホスト全体の調査

ユースケース(利用例)

当社の脆弱性手動診断サービスは様々なWebサイト/WebアプリケーションのタイプやWebAPI、システムを構成しているサーバや機器を対象としたものなどに分類しています。主な利用例を御覧ください。

メニュー・価格

脆弱性手動診断サービス(WebSiteScan Pro)

診断方法 セキュリティエンジニアによるツール診断、および手動診断
ログイン後の脆弱性診断
レポート 脆弱性報告書を提出
※検出された脆弱性に対する推奨される対処方法も記載
報告会の実施 ○(オプション)
診断対象 ショッピングサイトなどの個人情報を大量に扱うサイト
セッション管理 Cookieの取り扱い
セッションID
クロスサイトリクエストフォージェリ
入出力処理 SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
コマンドインジェクション
改行インジェクション
リンクインジェクション
パラメータ推測
HTTPレスポンス分割
SSIインジェクション
オープンリダイレクト
リクエスト改竄
その他
ロジック流出 バッグドアとデバッグオプション
エラー処理
情報公開
コメント
一般的な脆弱性 強制ブラウジング
ディレクトリリスティング
Webサーバ設定 システム情報の開示
不要なメソッド
ディレクトリ存在の確認
サーバエラーメッセージ

セキュリティ診断・脆弱性診断サービス価格表

セキュリティ診断・脆弱性診断サービス(SiteScanシリーズ)

セキュリティ診断・脆弱性診断サービス SiteScan 2.0

プラットフォーム脆弱性診断
(ツール診断)SiteScan 2.0

ネットワーク・OS・ミドルウェアなどのプラットフォーム脆弱性診断。

セキュリティ診断・脆弱性ツール診断サービス WebSiteScan

Webアプリケーション脆弱性診断
(ツール診断)WebSiteScan

ハッキング原因の約70%を占める2大脆弱性に加え、PCI DSSにて要求される脆弱性も診断可能。

※ログイン後のページも診断可能

セキュリティ診断・脆弱性手動診断サービス WebSiteScan Pro

脆弱性手動診断サービス(エンジニア手動診断)WebSiteScan Pro

ツール診断ではカバーしきれないセッション管理系の脆弱性診断も可能。ECサイトのような大量の個人情報を扱っているWebサイトにおすすめ。

セキュリティ診断・脆弱性ツール診断サービス SPA

SPAに特化したWebアプリケーション診断/手動

Webアプリケーション診断/手動の診断項目に加え、JavaScript/Frameworkの解析によりSPA固有の診断項目を高度なハッキングスキルを用いて診断。

セキュリティ運用サービス

セキュリティ運用サービスは、お客様と予め設定したスケジュールに沿って、当社が定期的な脆弱性診断を実施し、その結果をご報告いたします。また、お客様側でのシステムの構成変更等があった際には、ご要望に応じて都度診断も承ります。診断結果レポートに基づく対策支援や運用代行も当社エンジニアが対応いたしますので、安心・安全なシステム運用が効率的に実施可能です。また、他のセキュリティサービスと組み合わせ、年間を通してセキュリティコンサルやアセスメントも承ります。