PROVEQは、第三者の視点から検証をおこなうサービスブランドです。
製品やシステムのライフサイクルにおいて、
安心・安全な魅力品質の追求と開発生産性の向上を支援します。
セキュリティ検証サービス
セキュリティ検証サービスとは
Webサイト上で動作するアプリケーションの潜在的なセキュリティの問題(脆弱性)を検査し、発見された問題に対する適切な対応策(改修方法)を提示し、セキュリティ強度の向上を支援します。

PROVEQセキュリティ検証サービスイメージ

Webシステムが基幹としてビジネス展開をしている企業にとって、Webアプリケーションの脆弱性が引き起す問題(被害)は計り知れないビジネスインパクトになることが、過去の情報漏えい事故から明らかになっています。

弊社では未然に事故を防止するために、Webアプリケーションごとに異なる設計や実装方法、開発フレームワークの特徴を踏まえた検査項目による検査を実施いたします。

対象サイトのビジネス規模や保有する機密情報の性質により、経験豊富な専門家が手作業および自社開発の 検査ツールを用いた検査を行います。 発見された問題に対する具体的な改修方法や推奨事項を専門家により報告いたします。

■セキュリティ検証サービスの紹介ビデオ
Webシステムにおいてセキュリティ対策の重要性と、セキュリティ検証の必要性についてデモンストレーションを用いてご説明をしております。

弊社の検証サービスの流れ
検査実施前に、お客様と弊社コンサルタントにおいて、検査対象選定や検査実施に関する詳細なお打ち合わせを行うことで、万全な体制での検査を行います。

PROVEQセキュリティ検証サービスの流れ

■サービス内容確認
・サービス説明
・検査対象の特定
・見積もり
・NDA締結
・契約締結

■検査前ヒアリング
・連絡体制の確立
・禁止事項の再確認

■セキュリティ検査
・検査実施
・日々の進捗連絡

■重要度の高い脆弱性に関する速報
・発見箇所、発見方法、対応方法を発見当日中にご連絡

■検査結果報告書の作成
・全検査結果に対する評価を作成

■検査結果のご報告
・検査担当による検査結果報告
主な検査項目
PROVEQのセキュリティ検証サービスでの検査項目は主に以下の通りです。
SQLインジェクション データベースから一度に大量の情報が不正に引き出せないかをチェック
OSコマンドインジェクション オペレーティングシステムに対し、不正な命令(停止や第三者への攻撃命令)ができないかをチェック
クロスサイトスクリプティング(XSS) 外部から不正な命令コードを挿入できないかをチェック
セッションハイジャック セッション管理が適切に実装されているか、Cookieの使用方法は適切か、なりすましができないかをチェック
クロスサイトリクエストフォージェリーズ(CSRF) 攻撃者の罠によって、ユーザの意図しない動作が可能かチェック
暗号方法の実装(HTTPSの利用方法) 重要情報の取り扱い字に適切な暗号化がされているか。サイトの正当性は確認可能かをチェック
セキュリティ面でのユーザビリティ フィッシングなど、ユーザ側からセキュリティ面で不安と思われるサイト作りをしていないかをチェック
パラメータ(文字列)操作 様々な文字列を操作し、不正にシステムを悪用できないかをチェック
サイト全体のチェック 古いバージョンを使用していないか、ファイルの消し忘れはないか、設定の不備がないかをチェック
弊社のセキュリティ検証サービスの特徴
検証に専門特化しているPROVEQが独自に保有している技術・テストノウハウを是非ご活用ください。

■多数の検査実績に裏打ちされた技術力
・弊社に所属する検査担当者は金融機関、電子商取引サイトを中心に100サイト以上の検査実績
・都市銀行、ライフライン企業、大手マスメディア、大手ショッピングポータルへ通年検査を実施し、Webシステムのセキュリティレベル向上を支援

■手動検査による緻密な検査(プラチナサービス)
・手作業による複合的脆弱性(軽微な脆弱性を悪用し、重大な脆弱性を創出)の洗い出し
・Webサイトの設計に関わるセッション管理を徹底分析

■検査ツールによる検査(ゴールドサービス)
・検査ツールにより、高効率かつ正確な検査が可能
・不具合報告は、再現方法や再現率を重視した、開発者が確認しやすい内容で報告
・手動検査手法をツールに移行させていることから、極めて手動検査に近い品質を保持
WebChecker
Webサイトセキュリティ診断サービス(SaaS型Webアプリケーションセキュリティ検証サービス)はこちらをご参照ください。

WebChecker
>> その他の検証サービスへ