HOME > 検証サービス・ツール > セキュリティ・コンプライアンス > Webアプリケーションセキュリティ診断

Webアプリケーションセキュリティ診断

Webアプリケーションセキュリティ診断 不正アクセスによる情報漏洩、アカウントの盗用、悪意のある改竄など、Webアプリケーションの脆弱性を狙った攻撃は年々増加傾向にあり、Webアプリケーションを介してサービスを提供する企業におけるリスクは高まるばかりです。 近年は小規模企業や製造業を標的とした攻撃も増加しており、小規模事業者を踏み台として大規模事業者まで被害が広がる危険性も高まっています。 高度なセキュリティの確保は、規模の大小にかかわらず重要な問題です。「Webアプリケーションセキュリティ診断」ではWebサイトで会員登録やお問い合わせ、商品検索などの様々なサービス提供を実現するためのWebアプリケーション(※1)の被害発生が想定されうる不具合(セキュリティホールや様々な脆弱性)を検証し、発見された課題点への適切な対応策を提示します。

(※1) Webアプリケーションとは、Webサイト上で提供される各種サービスを実現するため様々なプログラミング言語(Java,PHP,Perlなど)で開発されたアプリケーションを指します。

脆弱性検査項目の代表例

その他の脆弱性についても対応可能です。詳しくはお気軽にお問い合わせください。

こんな方にお勧めします

  • Webサイトを持つ企業
  • Webサイト・Webアプリケーション開発事業者
  • Webサイト・Webアプリケーションの運用・サービス提供をしている企業
  • Webサイト・Webアプリケーションの開発を外部委託している企業
  • データセンター事業者

こんな悩みを解決します

  • セキュリティ水準を上げて事前に被害を防止したいが、具体的にどのような工程を加えるべきか分からない。
  • 脆弱性について検証を行い、セキュアなシステム構築をしたい。
  • 構築したWebサイト(リリース直前、もしくは運用中)に脆弱性がないか不安。
この検証サービスについてのお問い合わせ

PAGE TOP

特長

検証経験豊富なエンジニアと高い検査精度を誇る検査ツールを組み合わせた検査メニュー

金融機関、電子商取引サイトを始めとする多様なWebアプリケーションのセキュリティ検査実績をもつ、経験豊富な検証エンジニアが対応します。 PROVEQでは都市銀行、ライフライン企業、大手マスメディア、大手ショッピングポータルなどの様々なWebサイト・Webアプリについて検査をご依頼いただき、高度なセキュリティが求められる各種Webシステムのセキュリティ品質を支えています。

さまざまな言語のWebアプリケーションに対応

Java、C#、php、python、html5、その他様々な言語で構築されたWebサイト・Webアプリケーションに対応します。

スマートフォン環境の脆弱性検査にも対応

2011年から2012年にかけて、モバイルマルウエアが増加し、モバイルデバイスをターゲットとした攻撃が急増しています。OS本体について、iOSでは多くの脆弱性が発見されています。Android OSでの脆弱性発見数はiOSより少ないものの、Androidをターゲットとした大量のマルウエアが報告されています。Androidがマルウエアの標的となっているのは、AndroidアプリがiOSアプリに比べ流通経路が多様なことが一因と考えられます。 Webアプリケーションセキュリティ診断では、Android・iPhone向けのWebサイト・Webアプリの脆弱性診断にも対応しています。

サービス構成

対象のWebサイト・Webアプリに一般のご利用者様と同様にブラウザを使用してWebアプリケーションにアクセスし、その挙動からWebアプリケーション存在するセキュリティリスクを洗い出します。経験豊富な専門家が手作業と検査ツールを用いた検査を行います。

Webサイト・Webアプリケーションの特徴を踏まえ、検査項目を調整。検査対象にマッチした検証を行うことで、事故を未然に防止します。 発見された問題に対する発生原因、想定される被害、事象の再現方法、対応策を第三者検証の専門家であるエンジニアより報告いたします。お客様自身による事象の把握および適切な対応を行うことを支援致します。

診断メニュー

ゴールドサービス(ツール検査)

検査ツールにより、高効率かつ正確な検査が可能なサービスです。豊富な実績の中で培った検査手法を移植した独自開発ツールを用いて検査し、専門のコンサルタントが検査結果を精査します。

ゴールドplus診断(ツール検査+手動検査)

ゴールド診断をベースに、セッション管理の評価などを手動にて実施します。独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが結果精査を行います。

プラチナサービス(手動検査)

手動検査によるさらに緻密な検証を提供するサービスです。経験豊かなエンジニアが手作業により様々な脆弱性に対する検査を実施します。 ・軽微な脆弱性を悪用し、重大な脆弱性を創出する複合的脆弱性の検証 ・Webサイトの設計に関わるセッション管理を徹底分析し、セッション管理に関する脆弱性を検査 豊富な経験で培われた手作業による検証で、通常の検証では発見しにくい脆弱性までも検出し、重大な被害を未然に防止することができます。

メニュー毎の診断項目比較

診断項目 プラチナ ゴールド plus ゴールド
SQLインジェクション(SQL Injection)
OSコマンドインジェクション(OS Command Injection)
パラメータ操作(Parameter Manipulation)
クロスサイトスクリプティング(XSS)
Cookieの使用方法(Insecure Cookie)
不要なエラーメッセージ
バッファオーバーフロー(Buffer Overflow)
セッションフィクセーション(Session Fixation)
クロスサイトリクエストフォージェリ(CSRF)
HTTPSの使用方法(Insecure Protocol)
不要な情報(Unnecessary Information)
不要なディレクトリ・ファイル(Unnecessary Files)
サーバの設定ミス(Misconfigured Server Setting)
プログラムの既知の脆弱性(Known Vulnerability)
なりすましによる不正利用
ログイン・ログアウト機能の妥当性
権限詐称による情報閲覧
強制閲覧(Forceful Browsing)
不要なHTMLソースコメント (Client Side Comment)
コンサルタントの経験によるサイト特性に応じた応用的な調査

PAGE TOP

サービス料金・サンプルプラン

サービス料金:25リクエスト:60万円(税抜)~ ※サイト規模、診断メニューによって費用が変わります。プランはお客様のご予算や、どのメニューでの診断が望ましいかを考慮して、専門エンジニアがアドバイスをさせて頂きます。詳細はお気軽にお問合せ下さい。

サービス適用サンプル

(例1) 対象サイト:20画面程度のWebアプリケーションの場合
【適用内容】
  • ツールベースの「ゴールド診断」でサイト全体をスピーディーに検査。
  • 報告会を実施して診断結果、対策方法について詳しい説明を聞く。
合計:70万円(税抜)
  • ※リモート(インターネット経由)での検査
  • ※納品物:検査結果報告書
  • ※検査日数:3営業日程度
(例2) 対象サイト:100画面程度のWebアプリケーションの場合
【適用内容】
  • ツールベースの「ゴールド診断」でサイト全体を検査
  • ログイン機能や個人情報の変更機能などのセッション関連機能のみ、重点的にツール検査+手動検査の「ゴールドPlus診断」を適用
  • 報告会を実施して診断結果、対策方法について詳しい説明を聞く。
合計:155万円(税抜)
  • ※リモート(インターネット経由)での検査
  • ※納品物;検査結果報告書
  • ※検査日数:10~15営業日程度

・サービス費用はリクエスト数で御見積させて頂きます。 ・お客様条件に応じて、オンサイト検査、休日・夜間検査の対応も可能です。ご相談下さい。

サービス実施までの流れ

診断前 契約、実施内容の説明、実施条件のすり合わせ

↓

診断 条件に基づく診断の実施

↓

報告会、サポート(報告内容に関する問い合わせ)、再現確認診断

Webアプリケーションセキュリティ診断」についてのお問い合わせはこちら

この検証サービスについてのお問い合わせ

PAGE TOP

類似の目的で使用できるサービス・ツール

Webアプリケーション脆弱性検査ツール - VEX -

VEX

優れた脆弱性検出率と多彩なレポート機能。純国産脆弱性検査ツール
スマートフォンアプリケーションセキュリティ診断

スマートフォンアプリケーションセキュリティ診断

iOS・Androidアプリ本体/サーバー側の脆弱性を検出、対応策もサポート
Webサイトセキュリティ簡易診断

Webサイトセキュリティ簡易診断

インターネット公開中のWebサイトに対して、気になるセキュリティ脆弱性の可能性を簡易診断
セキュリティ教育

セキュリティ教育

セキュアプログラミング・発注・運営に必要な基礎知識習得を支援
セキュリティガイドライン策定支援

セキュリティガイドライン策定支援

セキュリティ水準向上に不可欠なガイドラインの策定をサポート
ネットワークセキュリティ診断

ネットワークセキュリティ診断

サーバ・ネットワーク機器を検証、セキュアなネットワークを実現

用語解説

SQLインジェクション【 SQL Injection 】

データベースへの問い合わせや操作を行うプログラムで、パラメータとしてSQL文の断片を送信することにより、データベースの改竄や情報入手を行う攻撃。またはこの攻撃を許してしまう脆弱性のこと。

OSコマンドインジェクション 【 OS Command Injection 】

閲覧者のデータ入力・操作を受け付けるメールフォームやコメント入力などのプログラムで、送信するパラメータにOSへの命令文を紛れ込ませ、不正に操作する攻撃。またはこの攻撃を許してしまう脆弱性のこと。

XSS【 Cross Site Scripting 】クロスサイトスクリプティング

Webサイトの閲覧者の入力をそのまま画面に表示するコメント表示などのプログラムを介して、一般の訪問者のブラウザに悪意のあるコードを送ってしまう脆弱性のこと。 スクリプトの内容によってはCookieの抜き取りや改竄などが可能。ECサイトで使用したCookieを盗聴し、本人になりすまして他の物品を購入したり、認証に使用したCookieを盗んでサイトに侵入するなど、深刻な被害に発展する可能性がある。

CSRF【 Cross Site Request Forgeries 】 クロスサイトリクエストフォージェリ

WebサイトにスクリプトやHTTPリダイレクトを埋め込むことで、閲覧者が気付かないうちに他のWebサイト上で特定の操作を行わせる攻撃手法。 CSRFの埋め込まれたサイトにアクセスすると、自動的にECショップで購入が行われたり、特定の掲示板やアンケートに書き込みが行われたりする。ブラウザでアクセスしただけで実行されるため、一般閲覧者が事前に回避するのは非常に困難。

マルウエア 【 malware 】

コンピュータウイルス、ワーム、スパイウエアなど、悪質なコードの総称。 コンピュータウイルスのようにコンピュータに侵入して他のコンピュータへの感染活動や破壊活動を行ったり、遠隔地のコンピュータに侵入・攻撃したり、情報を抜き取るなどの活動を行う有害なソフトウエアのこと。

仕様書・設計書検証

セキュリティ・コンプライアンス

システム機能検証

テスト自動化

テストプロセス改善

ソースコード検証

システム負荷検証

測定サービス・ツール

検証機(テスト機材)

管理・監視・運用

開発者支援

認証審査