脆弱性手動診断サービスのWebSiteScan Proは、ツール診断と併せて専門のエンジニアの手動診断により、ツール診断ではカバーしきれないセッション管理系の脆弱性診断も行います。 「ECサイトのセキュリティを対策したい」「大量の個人情報を扱っている」などのお客さまにおすすめのセキュリティ診断サービスです。
理想的なWebアプリケーション脆弱性検査は、実際にユーザがアクセスする場合と同じ環境で検査をすることですが、運用中のECサイトなどでは商品購入や登録確認メールの配信などが発生しないように注意する必要があります。その為、すべての機能の検査が出来ず、脆弱性が潜在し続ける場合があります。
本サービスは、可能な限り実際に起こるアクセスに近い状態で検査を行うため、検査対象となるWebアプリケーションの情報収集を徹底して行い、検査時におけるリスクを把握した上で診断を実施いたします。システムリリース前の最終確認や、現在運用中のWebアプリケーションにも安心してご利用いただけます。
診断対象システム(Webアプリケーション)の特性や、お客さまのご予算に合わせ、各メニューを組合せてご利用いただけます。たとえば、「ログイン機能のみの診断」というご要望や「全体的に診断したい」というご要望などお応えすることが可能です。
当社の専門のセキュリティエンジニアが対象システムを確認させていただき、診断手法、診断すべき箇所の選定などをサポートいたします。お客さまに安心してご利用いただけるよう、きめ細やかなサポート体制をご用意しております。
当社のサービスではこれまでの自動ツール診断では難しかった機能別の診断を独自ツール開発および手動診断により、高品質で安価なサービスを実現いたしました。
もちろん常に最新の脆弱性情報を収集し、サービスに反映させています。
脆弱性手動診断サービス(WebSiteScan Pro)はツール診断ではカバーできないセッション管理系の診断項目に加え、クレジットカード業界の情報セキュリティ基準であるPCI DSSの診断項目やセキュリティ診断のグローバル・スタンダードであるOWASPに基づいた診断項目に沿ってWebアプリケーションやWeb/API診断が可能です。またモダンWebと呼ばれているSPA(Single Page Application)やPWA(Progressive Web Apps)の診断にも対応しています。
PCI DSSとはクレジットカード業界におけるグローバルセキュリティ基準のことです。加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
OWASPとは世界のセキュリティ専門家による診断の標準や規格を策定する組織のことです。Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。
モダンWebの反対語にレガシーWebのMPA(Multiple or Multi Page Application)があります。MPAは一般的なホームページのように複数のページで構成されているWebサイトです。SEO(検索エンジン最適化)やアプリケーション内の構造の管理がしやすいことがメリットですが、ファイルの読み込み通信が頻繁に発生し表示に時間がかかることや、中大規模サイトになると構造が複雑になり管理が大変になることや、モバイル向けサイトのUI設計が難しくなることがデメリットになります。モダンWebはMPAのデメリットを解決すするために考えられた技術で、特に注目されているものはSPA(Single Page Application)やPWA(Progressive Web Apps)と呼ばれるものです。
SPAは単一のHTMLで構成されているWebサイトでファイル読み込みが初回アクセス時に全て済むため読み込み時間が短く高速な処理ができるため複雑なアニメーションが表現できるなどリッチなコンテンツを提供することが出来ます。またSPA+APIで実装できるためモバイルアプリと同じバックエンドを利用できることやモバイル向けのサイトとあわせてUI設計がしやすいこともメリットで、スマートフォンとも相性がよい技術です。MPAと比較してSPAに多い脆弱性を狙った攻撃はクロスサイトスクリプティング(XSS)と呼ばれるもので、脆弱性のあるサイトにスクリプトが埋め込まれるところから攻撃が始まり、掲示板サイトやTwitterのような、ユーザからの入力内容をWebページに表示するWebアプリケーション(「インタラクティブ(相互作用、双方向)」サイト)において、Webサイトの脆弱性を利用した攻撃手法を指します。インタラクティブなSPAは攻撃を受けやすい為、安全性が劣ることもありWebアプリケーション脆弱性手動診断サービスを実施することが必要とされます。
PWAとはウェブとアプリの良いところを取ったもので、ネイティブアプリのような操作性や表現力を持っているWebアプリケーションのことです。ストアダウンロードが不要で提供できることやキャッシュを使う技術のため低用量のアプリでスマートフォンのストレージを圧迫しないで利用できる点も優れています。TwitterやInstagram、GooglePhotoなどが有名なサービスです。当社ではPWAにも対応できるWebアプリケーション脆弱性手動診断サービスを提供しています。
APIとはソフトウェアからOSの機能を利用するための仕様またはインターフェースの総称で、アプリケーションの開発を容易にするためのソフトウェア資源のことです。Webで利用する場合、公開されているWeb APIは「Facebook」「Twitter」「YouTube」「Googleマップ」などが有名でアプリ開発などでよく利用されるものです。SPAやPWAのアプリ開発を実施する場合はWeb APIの利用は欠かせ無いものになっており、合わせて脆弱性診断を実施することでモダンWeb全体のセキュリティ対策を実現できます。
脆弱性手動診断サービス(WebSiteScan Pro)は包括的な脆弱性検知スキャナ"Nessus"を利用しシステム上の潜在的な脆弱性を検知します。セキュリティエンジニアの結果分析によるレポートを作成し診断結果を提示します。中〜大規模システムに適した診断方法で「ペネトレーションテスト」と同時に実施することが、より効果的でシステム全体の観点から見たときに、不正侵入できる弱点を把握することができ脆弱性の発見から悪用できる可能性があるかまで細かく分析します。
当社が協業している海外ベンダーは、高い技術力を持つハッカー集団により構成された技術集団で実践的なハッキング技術と知識を強みとし様々なセキュリティサービスを提供しております。あらゆる診断手法を用い、脆弱性スキャン後もセキュリティエンジニアの専門的な観点から結果を分析し、講じるべき対策が書かれているレポートはポイントを抑えてまとめております。
リモート診断はお客様のシステム環境内に脆弱性スキャナをインストールしリモート操作による診断を実施します。脆弱性スキャナ"Nessus"はコンピュータセキュリティに関して開発した包括的な脆弱性検知スキャナでシステムの潜在的な脆弱性を検知することが出来ます。簡単な操作方法で脆弱性の場所と対処方法を容易に把握でき、脆弱性を複数のカテゴリ別にグループ化する機能や最新の公開された脆弱性のテストに対してのスキャンは過去の履歴データを使用できるライブ結果機能なども存在します。それらの機能を活用したレポートは正確かつ丁寧な内容になっており、Nessusは世界的なシェアで脆弱性評価のNo.1のスキャナと言われております。
オンサイト診断はお客様のオフィスやデータセンターを訪問し、お客様の内部ネットワークなどから診断をします。内部ネットワークに接続された機器の脆弱性やサーバなどの脆弱性を確認します。
PCI DSS要件11.2は以下の条件が求められています。四半期ごと、およびシステムの大幅な変更後、および基準値を超えた脆弱性検出時に内部と外部ネットワークに対する脆弱性診断を少なくとも1回は実施することです。
ネットワークの脆弱性診断は2種類存在し外部ネットワークと内部ネットワークに分かれます。特に外部ネットワーク診断は標的型攻撃の脅威に対するリスクなどを調査することが中心となるため、ペネトレーションテストによる実践的な攻撃手法を用いたテストと組み合わせることで、システムへの不正侵入に対する防御力を厳密に調査することが可能です。
ちなみにPCI DSS要件11.3は年に一回、およびシステムの大きな変更後や、脆弱性検出時のペネトレーションテスト実施が条件として求められています。これらの内容を実施することでPCI DSS要件11.2※の内部ネットワークに対する脆弱性診断とPCI DSS要件11.3を満たすことが可能となります。
※ PCI DSS要件11.2:当社はASV認定ベンダーではありませんので外部ネットワークの要件を満たすことは出来ませんが同様に外部ネットワーク診断の実施も可能です
認証 | ログイン |
---|---|
その他 | |
セッション管理 | Cookieの取り扱い |
セッションID | |
クロスサイトリクエストフォージェリ | |
入出力処理 | SQLインジェクション |
クロスサイトスクリプティング | |
ディレクトリトラバーサル | |
コマンドインジェクション | |
改行インジェクション | |
リンクインジェクション | |
パラメータ推測 | |
HTTPレスポンス分割 | |
SSIインジェクション | |
オープンリダイレクト | |
リクエスト改竄 | |
その他 | |
画面遷移 | 重要の更新 |
権限昇格 | |
ユーザ管理 | 履歴 |
パスワード | |
暗号 | 通信の暗号化 |
ロジック流出 | バッグドアとデバッグオプション |
エラー処理 | |
情報公開 | |
コメント | |
メール | スパムメール |
画面設計 | 不適切な画面設計 |
ユーザへの説明 | |
一般的な脆弱性 | 既知のソフトウェア脆弱性 |
強制ブラウジング | |
ディレクトリリスティング | |
ファイルダウンロード・アップロードの問題 | |
Webサーバ設定 | システム情報の開示 |
不要なメソッド | |
ディレクトリ存在の確認 | |
サーバエラーメッセージ |
セッション管理 | Cookieの取り扱い |
---|---|
セッションID | |
クロスサイトリクエストフォージェリ | |
入出力処理 | SQLインジェクション |
クロスサイトスクリプティング | |
ディレクトリトラバーサル | |
コマンドインジェクション | |
改行インジェクション | |
リンクインジェクション | |
パラメータ推測 | |
HTTPレスポンス分割 | |
SSIインジェクション | |
オープンリダイレクト | |
リクエスト改竄 | |
その他 | |
ロジック流出 | バッグドアとデバッグオプション |
エラー処理 | |
情報公開 | |
コメント | |
一般的な脆弱性 | 強制ブラウジング |
ディレクトリリスティング | |
Webサーバ設定 | システム情報の開示 |
不要なメソッド | |
ディレクトリ存在の確認 | |
サーバエラーメッセージ |
主な診断項目 |
ホストのスキャン ネットワークサービスの脆弱性 Webサーバーの脆弱性 各種OSの脆弱性 悪意あるソフトウェア ネットワーク機器の脆弱性 その他ホスト全体の調査 |
---|
当社の脆弱性手動診断サービスは様々なWebサイト/WebアプリケーションのタイプやWebAPI、システムを構成しているサーバや機器を対象としたものなどに分類しています。主な利用例を御覧ください。
診断方法 | セキュリティエンジニアによるツール診断、および手動診断 |
---|---|
ログイン後の脆弱性診断 | ○ |
レポート | 脆弱性報告書を提出 ※検出された脆弱性に対する推奨される対処方法も記載 |
報告会の実施 | ○(オプション) |
診断対象 | ショッピングサイトなどの個人情報を大量に扱うサイト |
セッション管理 | Cookieの取り扱い |
セッションID | |
クロスサイトリクエストフォージェリ | |
入出力処理 | SQLインジェクション |
クロスサイトスクリプティング | |
ディレクトリトラバーサル | |
コマンドインジェクション | |
改行インジェクション | |
リンクインジェクション | |
パラメータ推測 | |
HTTPレスポンス分割 | |
SSIインジェクション | |
オープンリダイレクト | |
リクエスト改竄 | |
その他 | |
ロジック流出 | バッグドアとデバッグオプション |
エラー処理 | |
情報公開 | |
コメント | |
一般的な脆弱性 | 強制ブラウジング |
ディレクトリリスティング | |
Webサーバ設定 | システム情報の開示 |
不要なメソッド | |
ディレクトリ存在の確認 | |
サーバエラーメッセージ |
ネットワーク・OS・ミドルウェアなどのプラットフォーム脆弱性診断。
ツール診断ではカバーしきれないセッション管理系の脆弱性診断も可能。ECサイトのような大量の個人情報を扱っているWebサイトにおすすめ。
Webアプリケーション診断/手動の診断項目に加え、JavaScript/Frameworkの解析によりSPA固有の診断項目を高度なハッキングスキルを用いて診断。