サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

RELEASE
webアプリケーションアイコン
webアプリケーションアイコン

Webアプリケーション
診断

動的解析でWebアプリケーションに潜在する
脆弱性を検出し、対策方法を提案します

Webアプリケーション診断は
こんな方におすすめ

  • Webアプリのリリース前に第三者視点で脆弱性をチェックしたい方
  • 個人情報を保持するサイトを取り扱う方
  • ツールの提供だけでなく専門家によるテストを実施したい方

サービス概要

あらゆる言語で開発されたWebアプリケーションを診断し、脆弱性を検出・報告します。エンジニアによる手動検査で、自動化されたツール診断だけでは検出することが困難な脆弱性も洗い出します。

  • インプット

    インプット

    ドメイン・URL
    認証情報
  • 診断

    診断

    国際標準に基づいた診断
    (ASVS)
  • アウトプット

    アウトプット

    Webアプリケーションの
    脆弱性と改善提案

主な診断項目

  • ASVS・OWASP TOP10 など

    SQLインジェクション、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエストフォージェリ)といった三大脆弱性を含む緊急度の高い脆弱性はもちろん、国際基準で定められた全Webアプリケーションで確認すべき診断項目が網羅されています。

  • アクセス制御の有効性

    アクセス制御に不適切な設定が施されている場合、機密情報の漏洩や、不正アクセス、情報の改ざんといった脅威があります。権限の必要なリソースへのアクセスや情報の更新に対する制御に、アクセス権限を回避できる脆弱性がないか、動的解析によって診断します。

  • セッション管理・認証要件

    セッショントークンの更新の有無や有効期限の適切な設定などセッション管理に関する要件の確認に加え、パスワード文字列の設定要件やブルートフォース攻撃への耐性といったクレデンシャル情報を侵害する危険性のある脆弱性を診断します。

SHIFT SECURITYの特徴

  • 01

    高品質・低価格・短納期
    脆弱性診断を提供

    従来の脆弱性診断では、特殊なスキルを持ったホワイトハッカーによる属人性の高い診断が多く、担当者が変わると「結果に差異がある」「網羅性が見えない」など、診断品質がバラつく問題がありました。当社のWebアプリケーション診断は、標準化で属人性を排除し、安定して高品質を実現します。さらに、仕組化された診断プロセスで、低コストと短納期を実現します。

  • 02

    ツールに頼らない手動診断で
    発見困難な脆弱性を検出

    診断エンジニアによる手動診断で、「アクセス制御の回避」、「権限外のリソースへのアクセス・情報の更新」、「機密情報の暴露・入手」といったツール診断では発見が困難な脆弱性を検出します。また、各種インジェクション系に代表される緊急度の高い脆弱性を検出した場合は、実際に情報の入手や不正な操作が可能であるかどうかを試行し、その結果を報告します。

  • 03

    CVSS(※)に基づいて
    リスク評価を客観的に可視化

    診断で発見された脆弱性は、脆弱性リスク評価の共通言語ともいえる「共通脆弱性評価システムCVSS」に基づいた評価基準と照らし合わせて、客観的で定量的なリスク評価を行った上でお客様に報告します。脆弱性のリスク評価を第三者機関として客観的に可視化することで、妥当性の高い脆弱性対応の優先順位付けや、組織内における脆弱性対応の基準策定を支援します。

    ※CVSS:共通脆弱性評価システム CVSS (Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会 (NIAC: National Infrastructure Advisory Council) のプロジェクトで 2004年10月に原案が作成されました。
  • 総評

    評点・要素別評価・コメント付

    総評
  • 検査項目一覧

    観点・検査数・深刻度別脆弱性数を提示

    検査項目一覧
  • 脆弱性詳細

    対象画面・想定脅威・対策・再現方法

    総評

料金プラン

Web
アプリケーション
診断
  • Web
    アプリケーション
    診断
    200,000
  • ブロンズ

    とにかくコストを抑えて
    診断をしたい

    攻撃頻度の高い脆弱性
    22項目

    • キャンペーンサイト
    • 運営期間が一時的なWebサイト
  • シルバー

    緊急度の高い脆弱性を
    洗い出したい

    OWASP TOP10
    92項目

    • コーポレイトサイト
    • 個人情報を保持しないWebサイト
  • 人気プラン
    ゴールド

    網羅性高く脆弱性を
    洗い出したい

    ASVS
    123項目

    • ECサイト
    • 個人情報を保持するWebサイト
  • プラチナ

    高度な攻撃を想定して
    診断をしたい

    お客様個別の検査観点
    による診断

    • 金融サービス
    • 高度な攻撃が想定されるWebサイト

OWASP Top 10:最も重大なウェブアプリケーションリスクトップ10
ASVS(Application Security Verification Standard):アプリケーションセキュリティ検証標準

\ お気軽にご相談ください。 /

お客様の目的別に最適な脆弱性診断をご提案いたします。

診断スケジュール例

高品質でスピーディー、
診断翌日にレポート納品
診断スケジュール例
スワイプアイコン 左右にスワイプ

導入事例

nissen

コスト、スケジュールだけでなく「品質」でも心強い、脆弱性診断で頼れるパートナーです。

Webアプリケーション診断に関する
よくある質問

Q

診断対象を決めかねており、診断対象の選定から相談することは可能ですか?

A

脆弱性診断を受けた事が無いなど、診断対象の選定に不安がある場合はサービスのご紹介などを行う事も可能ですので、お気軽にご相談ください。

Q

Webアプリケーション診断の見積もりはどのような方法で算出されますか?

A

お見積りの対象は画面数ではなく、「HTTPリクエスト数」となり、以下のいずれか3つの方法で算出します。

  • 対象のWebサイトをご指定頂き、弊社でクローリングして算出
  • 画面設計書、画面遷移図、API一覧などのドキュメントより弊社で算出
  • お客様側でHTTPリクエスト数を算出いただき、その数量を元に算出
Q

診断開始から報告書の納品までどのくらいの期間がかかりますか?

A

診断対象となるHTTPリクエスト数によって期間は変動致しますが、下記の期間が必要となります。

  • 50リクエスト程度の診断の場合は7営業日程度
  • 100リクエスト程度の診断の場合は12営業日程度
Q

社内からしかアクセスできないなど、アクセスの制限がある対象の診断はできますか?

A

はい、可能です。アクセス制限がある場合、

  • IP許可を頂く
  • 踏み台となる環境を用意頂く
  • VPN等を経由し診断を行う
  • オンサイトで訪問し診断を行う

など柔軟な対応が可能ですので、お気軽にご相談ください。
尚、診断対象環境にWAF・IPSなどのセキュリティ機構が導入されている場合、
弊社の診断元IPアドレスをホワイトリストに追加いただくようお願いしております。

サービスに関する
お問い合わせ