HOME > 検証サービス・ツール > セキュリティ・コンプライアンス > Webサイトセキュリティ簡易診断

Webサイトセキュリティ簡易診断

Webサイトセキュリティ簡易診断 インターネットで公開中のWebサイトに対して、独自ツールがリンク巡回しセキュリティ脆弱性を簡易診断。簡易診断結果より、セキュリティ診断の必要性の把握にお役立ていただけます。 サーバの設定ミスや既知の脆弱性などの比較的容易に防ぐことが出来る脅威はもちろん、インジェクション攻撃クロスサイト攻撃など、サイバー攻撃の標的になる可能性についての簡易診断結果をご提供。サイト規模が小さくセキュリティ診断の費用が見合わないお客様や、サイト規模が大きすぎてセキュリティ診断の費用が膨大になってしまうお客様にとって、セキュリティ診断を実施する前の調査として最適なサービスです。

セキュリティ脆弱性検査項目の代表例

  • XSS【 Cross Site Scripting 】 クロスサイトスクリプティング
  • SQLインジェクション【 SQL Injection 】
  • サーバの設定ミス【 Misconfigured Server Setting 】

その他のセキュリティ脆弱性についても対応しています。詳しくはお気軽にお問い合わせください。

こんな方にお勧めします

  • コーポレートサイトやキャンペーンサイトなどシンプルな構成のサイトで基本的なセキュリティ診断を行いたい企業
  • サイト運営事業者

こんな悩みを解決します

  • Webサイトの公開に伴うリスクを定期的に把握したい。
  • セキュリティの検証を行いたいが、初期費用を抑えたい。
  • セキュリティ診断をすべきか悩んでいる。
この検証サービスについてのお問い合わせ

PAGE TOP

特長

Webサイトセキュリティ簡易診断

インターネットに公開しているWebサイトについて、独自ツールがGETメソッドでリンクを巡回します。「オープンポートの確認」「ネットワークセキュリティチェック」「Webアプリケーションセキュリティチェック」「フォームの検出」「静的コンテンツの巡回」について、Webサイト簡易診断結果をご提供します。

Webサイトセキュリティ簡易診断のサービスフロー イメージ図

分かりやすい報告書イメージ

Web簡易診断結果よりセキュリティ脆弱性の可能性や、セキュリティ診断の該当箇所を具体的にピックアップすることが可能となります。

Webサイトセキュリティ簡易診断結果 イメージ図ClearDocを利用したドキュメント検証の作業フロー イメージ図

サービス内容

診断内容

分類 簡易診断 想定される危険性 簡易診断結果から推奨するセキュリティ診断サービス (オプション)
オープンポート確認
  • ・解放ポート
不要なポート開放による不正アクセスの可能性。 ネットワークセキュリティ診断
サーバー・ネットワークセキュリティチェック
  • ・HTTPSの使用方法 (Insecure Protocol)
  • ・不要なディレクトリ/ファイル (Unnecessary Files)
  • ・サーバの設定ミス (Misconfigured Server Setting)
  • ・プログラムの既知の脆弱性 (Known Vulnerability)
OS、ミドルウェア、サービスの脆弱性が存在する可能性。 ネットワークセキュリティ診断
Webアプリケーションセキュリティチェック
  • ・SQLインジェクション(SQL Injection)
  • ・OSコマンドインジェクション (OS Command Injection)
  • ・クロスサイトスクリプティング(XSS)
  • ・パラメータ操作 (Parameter Manipulation)
  • ・不要な情報 (Unnecessary Information)
Webアプリケーション脆弱性が存在する可能性。 GETリクエストの範囲で脆弱性が検出された場合は、さらなる深刻な脆弱性が存在する可能性。 Webアプリケーションセキュリティ診断
フォームの検出
  • ・自動巡回範囲におけるフォームの存在箇所とフォーム数
  • ・POSTリクエスト箇所の特定
フォーム以降の画面遷移に関するWebアプリケーション脆弱性が存在する可能性。 なりすまし・権限昇格等の被害が大きい脆弱性が存在する可能性。 Webアプリケーションセキュリティ診断
静的コンテンツの巡回
  • ・サイト規模の特定

サービス詳細

適用条件 インターネット公開サイト
診断単位 FQDN単位
※ドメイン、サブドメイン、ホスト等を省略せずに、すべて指定したURL。
診断対象 インターネット経由で、ツールが自動巡回(※)した箇所を対象とする。
(※)自動巡回…サイト内に記載されているリンクを巡回(GETメソッドでアクセス)します。動的にURLリンクを生成している場合は巡回対象外となります。
実施時間 8時間での診断実施となります。 (診断の目安としまして、8時間で最大500画面)
成果物 報告書(PDF形式のファイルをメールにて納品)

Webサイトセキュリティ簡易診断」についてのお問い合わせはこちら

この検証サービスについてのお問い合わせ

PAGE TOP

類似の目的で使用できるサービス・ツール

Webアプリケーション脆弱性検査ツール - VEX -

VEX

優れた脆弱性検出率と多彩なレポート機能。純国産脆弱性検査ツール
Webアプリケーションセキュリティ診断

Webアプリケーションセキュリティ診断

Webアプリ・サイトの脆弱性・セキュリティホールを検出、対応も支援
ネットワークセキュリティ診断

ネットワークセキュリティ診断

サーバ・ネットワーク機器を検証、セキュアなネットワークを実現
スマートフォンアプリケーションセキュリティ診断

スマートフォンアプリケーションセキュリティ診断

iOS・Androidアプリ本体/サーバー側の脆弱性を検出、対応策もサポート
セキュリティ教育

セキュリティ教育

セキュアプログラミング・発注・運営に必要な基礎知識習得を支援
セキュリティガイドライン策定支援

セキュリティガイドライン策定支援

セキュリティ水準向上に不可欠なガイドラインの策定をサポート

用語解説

インジェクション攻撃 【Injection Attack】

WebサイトやWebアプリケーションのセキュリティ上の不備を利用し、想定外の文字列・コマンドを実行させることで、不正な動作を起こさせたり、データベースを不正に操作したりする攻撃手法のこと。 代表的な例では、SQLインジェクションやHTTPヘッダインジェクション・HTTPレスポンス分割等が挙げられる。

クロスサイト攻撃 【Cross Site Attack】

WebサイトやWebアプリケーションのセキュリティ上の不備がある場合に、他のサイトのPOSTパラメータを受け付けてしまい、制作者の意図しない動作を起こさせる攻撃手法のこと。 代表的な例に、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(XSRF) などが挙げられる。

GETメソッド 【GET Method】

クライアントからサーバに対し、URLで指定したファイルの送信を要求するためのHTTPリクエストの種類。

仕様書・設計書検証

セキュリティ・コンプライアンス

システム機能検証

テスト自動化

テストプロセス改善

ソースコード検証

システム負荷検証

測定サービス・ツール

管理・監視・運用

開発者支援

認証審査