SERVICE事業内容
脆弱性診断
ウェブアプリケーション診断(ライトプラン)
ウェブアプリケーションではスクリプトの悪用やサイトの改ざん、データベースへの侵害などの様々なセキュリティリスクに晒される可能性があります。
これらのリスクに対処するため、専用の診断で問題を洗い出し適切な対策を行う必要がありますが、予算が限られる中でどのシステムから手をつければよいかわからなかったり、詳細チェックの前に複数のシステムにわたって簡易的にチェックをしたいことがあります。
そのようなお客様に向けて、広範でシンプルなセキュリティチェックを実施するサービスを提供します。
概要
本サービスではIPAの『ウェブ健康診断仕様』に則り、お客様が作成されたウェブアプリケーションに対し、上記のような情報漏えいやデータ改ざん等に繋がる脆弱性や設定不備がないかの簡易的なセキュリティチェックを実施します。
診断対象の例
- ウェブアプリケーション
- スマートフォンアプリケーション(※)
※アプリ操作の中でHTTP(S)通信が発生する箇所が診断対象となります。
診断方法
専門の診断員がお客様のシステムで診断が必要と判断した画面や機能を選抜し、それらに対して手動で診断を行います。
- リモート診断:弊社環境からインターネット経由で診断を実施します。インターネットからの攻撃可能性をチェックできます。
- オンサイト診断:お客様のイントラネット上で診断を実施します。イントラネット侵入後の脅威や社内からの脅威をチェックできます。
診断中の操作・リクエストがシステムに影響を及ぼす可能性がございますので、テスト環境やステージング環境での実施を推奨します。
診断項目
IPAの『ウェブ健康診断仕様』に記載の下記項目について手動でチェックします。
項目 |
---|
SQLインジェクション |
クロスサイトスクリプティング |
クロスサイトリクエストフォージェリ |
OSコマンドインジェクション |
ディレクトリリスティング |
メールヘッダインジェクション |
パス名パラメータ未チェック・ディレクトリトラバーサル |
意図しないリダイレクト |
HTTPヘッダインジェクション |
認証の不備 |
セッション管理の不備 |
認可制御の不備・欠落 |
クローラへの耐性(※) |
※「クローラへの耐性」はご希望のお客様のみ実施するオプション項目となります。この診断項目はインターネット上のクローラに対するウェブサイトへの負荷を疑似的にテストするものです。
診断の流れ
各脆弱性診断のサービスは下記の流れで実施いたします。