サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。 ご相談は無料です。

SHIFT SECURITY

RELEASE
webアプリケーションアイコン
webアプリケーションアイコン

Webアプリケーション
診断

動的解析でWebアプリケーションに潜在する
脆弱性を検出し、対策方法を提案します

サービス概要

動的解析を含む手法によってWebアプリケーションを診断し、脆弱性を検出・報告します。標準化された診断プロセスにより、属人化が排除された網羅的で安定品質、かつ低価格、短納期での脆弱性診断の提供を実現します。また、検出された脆弱性における脅威、並びに適切な対策方法を可視化し、報告します。

  • インプット

    インプット

    ドメイン
    (URL)
    認証情報
  • 診断

    診断

    国際標準
    (ASVS)
    に基づいた診断
  • アウトプット

    アウトプット

    動的解析に基づいた
    Webアプリケーションの脆弱性と改善提案

Webアプリケーション診断の
必要性

現代では脆弱性を悪用したサイバー攻撃が一般化しており、顧客情報への不正アクセスやWebコンテンツの改ざんといった脅威から情報資産を適切に保護する必要性があることから、脆弱性診断への需要が高まっています。

万が一、セキュリティインシデントの被害に見舞われた場合、被害者に対する金銭的な補填、メディアへの対応のみならず、それによる対外的な信用失墜によって機会損失を含めた営業活動への経済的な損失にもつながります。

このような事態に発展する前に、Webアプリケーションに存在する脆弱性、並びに潜在しているリスクを診断することで事前にセキュリティリスクを把握して可視化し、適切な対策をとることが重要です。

主な診断項目

  • OWASP TOP10

    SQLインジェクション、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエストフォージェリ)といった三大脆弱性を含む緊急度の高い脆弱性を検出します。

  • アクセス制御の有効性

    アクセス制御に不適切な設定が施されている場合、機密情報の漏洩や、不正アクセス、情報の改ざんといった脅威があります。権限の必要なリソースへのアクセスや情報の更新に対する制御に、アクセス権限を回避できる脆弱性がないか、動的解析によって診断します。

  • セッション管理・認証要件

    セッショントークンの更新の有無や有効期限の適切な設定などセッション管理に関する要件の確認に加え、パスワード文字列の設定要件やブルートフォース攻撃への耐性といったクレデンシャル情報を侵害する危険性のある脆弱性を診断します。

SHIFT SECURITYの特徴

  • 01

    高品質・低価格・短納期
    脆弱性診断をご提供

    従来の脆弱性診断では、特殊なスキルを持ったホワイトハッカーによる属人性の高い診断が必要であり、担当者が異なると「検出される脆弱性に差異がある」「網羅性に欠ける」など、品質がばらつく問題がありました。SHIFT SECURITYのWeb・アプリケーション診断では、標準化され属人化を排除した評価基準によるバラつきのない品質で診断を提供します。さらに、仕組化された診断プロセスにより、従来の脆弱性診断と比較し、低コストで短納期での診断と報告を実現します。

  • 02

    ツールのみに頼らない動的診断で
    発見困難な脆弱性有無 を検出

    セキュリティエンジニアによる動的診断で、「アクセス制御の回避」、「権限外のリソースへのアクセス・情報の更新」、「機密情報の暴露・入手」といったツール診断のみでは発見が困難な脆弱性の有無を検出します。また、各種インジェクション系に代表される緊急度の高い脆弱性を検出した場合は、実際に情報の入手や不正な操作が可能かを試行し、その結果を報告します。

  • 03

    CVSS(※)に基づいた
    リスク評価の 可視化

    発見された脆弱性は、脆弱性リスク評価の共通言語ともいえる「共通脆弱性評価システムCVSS」に基づいた評価基準に照らし、客観的で定量的なリスク評価を行った上でお客様に報告します。脆弱性のリスク評価を可視化することで、インシデントマネジメントにおける的確な脆弱性対応を支援します。

    ※cvss:共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。ベンダーに依存しない共通の評価方法を提供しています。
  • 総評

    評点・要素別評価・コメント付

    総評
  • 検査項目一覧

    観点・検査数・深刻度別脆弱性数を提示

    検査項目一覧
  • 個別脆弱性報告

    対象画面・想定脅威・対策・再現方法

    総評

料金プラン

Web
アプリケーション
診断
  • Web
    アプリケーション
    診断
  • ブロンズ

    とにかくコストを抑えて
    診断をしたい

    三大脆弱性等
    22項目

    • キャンペーンサイト
    • 運営期間が一時的なWebサイト
  • シルバー

    緊急度の高い脆弱性を
    洗い出したい

    OWASP TOP10
    96項目

    • コーポレイトサイト
    • 個人情報を保持しないWebサイト
  • 人気プラン
    ゴールド

    網羅性高く脆弱性を
    洗い出したい

    ASVS
    129項目

    • ECサイト
    • 個人情報を保持するWebサイト
  • プラチナ

    高度な攻撃を想定して
    診断をしたい

    お客様個別の検査観点
    による診断

    • 金融サービス
    • 高度な攻撃が想定されるWebサイト

OWASP Top 10:最も重大なウェブアプリケーションリスクトップ10
ASVS(Application Security Verification Standard):アプリケーションセキュリティ検証標準

診断スケジュール例

お客様のスケジュールに合わせた
診断に対応

高品質でスピーディー、診断翌日にレポート納品
診断スケジュール例
スワイプアイコン 左右にスワイプ

サービスに関する
お問い合わせ

0120-142-117
お電話でご相談 / 平日10:00〜18:00
※ タップして今すぐお電話