ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企業(ye)や組織(zhi)のセキュリティ事故発生時(shi)はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時(shi)間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

Webアプリケーション診断ハイブリッド

Inspection & Consulting

Webアプリケーションに対し攻撃者視点から様々な疑似攻撃を考察・試行し、安全性を徹底的に調査

攻(gong)(gong)撃者の視(shi)点から様々な疑似(si)攻(gong)(gong)撃を考察・試行(xing)することで、Webアプリケーションの安全性を徹底的に調査します。診断結果(guo)に基づいた対策を行(xing)うことで、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻(gong)(gong)撃による被害を未然に防ぐことができます。

サービスの強み

独(du)自(zi)のツールと専門家による確かなWebアプリケーション診断

Webアプリケーション診(zhen)断(duan)(duan)の手(shou)法は、診(zhen)断(duan)(duan)ツール、専門(men)家(jia)の手(shou)動診(zhen)断(duan)(duan)、そして両者(zhe)の併用の3つのパターンがあります。いずれの手(shou)法も、診(zhen)断(duan)(duan)対(dui)象となるWebアプリケーションに対(dui)し、「シグネチャ」と呼(hu)ばれる特別な文字列を送ったり、処理を実(shi)行し、その応(ying)(ying)答結果や動作から脆弱性の有無を判断(duan)(duan)します。診(zhen)断(duan)(duan)ツールは効(xiao)率(lv)的な半面、脆弱性の見(jian)逃しや誤検出が発(fa)生する場(chang)合(he)があるため、ラックでは、専門(men)家(jia)の手(shou)動診(zhen)断(duan)(duan)を中心としつつ、要望(wang)に応(ying)(ying)じて独自開発(fa)の診(zhen)断(duan)(duan)ツールと組み合(he)わせた診(zhen)断(duan)(duan)も実(shi)施しています。

Webアプリケーション診断の特長

  1. Webアプリケーションの仕様や特性に合わせた多様な手法で診断
    熟練したセキュリティ専門家が、Webアプリケーションの仕様や特性を考慮し、なりすましによる不正ログイン、個人情報など重要データ窃取、管理者権限の不正取得、データベースへの不正アクセス、アクセス制御リソースへの不正アクセスなど、様々なセキュリティリスクを発見します。
  2. 最新の攻撃手法を
    診断パターンに反映
    24時間365日リアルタイムでセキュリティ監視を行う「JSOC」、最新の脅威や動向を研究する機関である「サイバー・グリッド研究所」、セキュリティ事故の緊急対応を行う「サイバー救急センター」から得た最新の攻撃手法や脆弱性情報を反映し、診断を実施します。
  3. 信頼の実績
    ラックは1995年にセキュリティ事業を開始し、セキュリティ診断サービスについては約19,700団体の豊富な導入実績があります。蓄積された過去の膨大な診断結果は統計データ化しており、お客様の診断結果を評価・分析する際に活用しています。(※ 2020年10月末現在)

セキュリティ診断の流れ

  1. ヒアリング
    企業からの要望や予算に応じて、最適な診断範囲を決定します。
  2. 診断
    診断対象となるWebページやサーバー、ネットワーク機器の安全性を確認します。
  3. 分析
    診断結果をもとに脆弱性を洗い出し、セキュリティリスクを分析します。
  4. 診断報告書
    総合評価、検出された問題点、対策の解説、統計情報をまとめた診断結果報告書を提出します。
  5. 報告会
    発見された問題点の解説や影響、対策の説明、対応の優先順位づけ等を含めた報告会を行います。
  6. 改善実施のお手伝い
    報告書提出日から3ヶ月間、お問合せに対応します。

サービス内容

主な診断項目は以下の通りです。経験豊富な専門家が、お客様のWebアプリケーションに合わせて診断を実施いたします。

クロスサイトスクリプティング診断 不正なスクリプト文字列やHTMLタグなどがWebページに挿入可能かどうかチェックします
SQLインジェクション診断 Webアプリケーションを通じて、データベースから情報を抜き出せないかチェックします
セッション管理診断 セッション管理に使用されている情報が推測できるかなど、Webアプリケーションのセッション管理に不備がないかチェックします
認証診断 認証機能を回避できるかなど、認証機能に不備がないかチェックします
ファイル拡張子診断 不正なファイル操作が行われないかチェックします
OSコマンドインジェクション診断 不正なコマンドを実行できないかチェックします
ディレクトリトラバーサル診断 ディレクトリをさかのぼり、本来閲覧不可能なファイルにアクセスできないかチェックします
権限昇格診断 ユーザ権限から管理者権限などへの不正な昇格が可能かチェックします
パラメータ書き換え診断 パラメータの書き換えや追加を行い、問題が発生しないかチェックします
Webアプリケーション固有の問題についての診断 診断対象Webアプリケーション固有の動作に利用者に影響のある問題がないかチェックします

診断結果報告書イメージ

診断報(bao)(bao)告書には、診断結(jie)果の総(zong)評、評価ランク(5段階)をはじめ、診断結(jie)果の詳(xiang)細・発見された脆弱性およびその確(que)(que)認方法(fa)・セキュリティリスクレベル(緊急度(du))・推奨する対策などを記載し、お客様が改善実施すべき事項を明確(que)(que)にご提示いたします。また、業種(zhong)別の統(tong)計(ji)情報(bao)(bao)も掲載しますので、同業他社に比べて自社がどの程度(du)のレベルなのかということなども知ることができます。

診断結果報告書イメージ

よくあるご質問

アマゾン ウェブ サービス(AWS)上のWebアプリケーションを診断する時に事前申請は必要ですか。
必要ありません。AWSでは、特定のEC2インスタンスタイプにおいて、診断実施が非推奨となっています。
AWSの「侵入テストのAWSカスタマーサポートポリシー」ページにて、該当するインスタンスタイプの使用有無を事前にご確認ください。
英語によるサービスの提供は可能でしょうか。
はい。可能です。ご相談時にお知らせください。
再診断は可能でしょうか。
はい。可能です。報告書の納品から1ヶ月間のサポートとして、危険度の高い脆弱性はご希望に応じて再診断いたします。診断員がお伺いして再診断する場合は、別途お見積もりになります。詳しくは弊社までご相談ください。

価格

参考価格:1サイト(20画面遷移) 1,000,000円(yuan)~

* 上記は平日日中、インターネット経由で診断を行った場合の金額です。
* お客様のシステム構成によりお見積もり金額は、異なる場合があります。

お見積りについて

「概(gai)算のお見(jian)積(ji)(ji)もり」をご希(xi)望のお客(ke)様(yang)は、お問合せ時に診(zhen)断対象(システム毎の画面遷移数)の情報を頂(ding)けると、早めに概(gai)算お見(jian)積(ji)(ji)書の提(ti)出が可能(neng)です。

※ 画面遷移数(shu)の情報については下記(ji)の「画面遷移数(shu)の計算方(fang)法」を参(can)照ください。

概算お見積り用計算方法

ラックのWebアプリケーション診(zhen)断は、「サイト数」と「画(hua)面遷(qian)移数」をもとに、金額と作業スケジュールをお見積もりいたします。

【サイトの数え方】

デバイスによるサイト数

デバイスに関係なく、アクセスするWebアプリケーションが1つの場合は、1サイトと数えます。
(PCサイトと同(tong)じ扱いで診断を実施(shi)します。)

アクセスするWebアプリケーションが1つの場合は、1サイト

デバイス毎にアクセスするWebアプリケーションが異なる場合は、それぞれを1サイトと数えます。

デバイス毎にアクセスするWebアプリケーションが異なる場合は、それぞれを1サイト

【画面遷移数】

リンクやボタンを押下して、対象となる画面遷移数(リクエスト数)を数えます。

例)ログイン画面の場合

ログイン画面の場合

例)同(tong)一画面(mian)内に複数のページを表示する場合

同一画面内に複数のページを表示する場合

例)検索画面等(deng)で同(tong)一画面内に処(chu)理(li)が行われる場合

検索画面等で同一画面内に処理が行われる場合

※ 画(hua)面(mian)遷(qian)移(yi)時(shi)に生じるブラウザからサーバへのリクエストを改ざんし脆(cui)弱(ruo)性(xing)の有無を確(que)認します。そのため、お見積(ji)りの単位は画(hua)面(mian)遷(qian)移(yi)数(リクエスト数)としています。1リクエストあたりのパラメータ数の上限は20パラメータ迄(qi)としております。20パラメータを超える場合(he)は、20パラメータ毎に1画(hua)面(mian)遷(qian)移(yi)と数えます。50パラメータの場合(he)は3遷(qian)移(yi)と数えます。

「Webアプリケーション診断ハイブリッド」に関するお問い合わせ

「DiaForce(ディアフォース)」とは、お客様の成長戦略に合わせて提供するラックのセキュリティ診断サービスのブランドです。

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top