Webサイトの脆弱性は日々発見されています。その数は、すでに数万種類と言われています。
これらの脆弱性は、ウイルス対策ソフトを使っても取り除くことができません。
例え駆除出来たとしても、対策を打たなければ、再び攻撃者の的になってしまう可能性があります。
診断を行い健康状態を把握することで対処方法がハッキリします。
まずは、Webサイトの健康診断、受けてみませんか?!
※1 Vulnerability EXplorer(VEX):優れた脆弱性検出率と多彩なレポート機能を有する、純国産Webアプリケーション脆弱性検査ツール。
会員登録やお問い合わせ、商品検索などの様々なサービス提供を実現するためのWebアプリケーションに対し、被害発生が想定されうる不具合(脆弱性)が存在しないか確認いたします。
会員登録機能、ログイン・ログアウト、決済機能、情報変更・削除機能、問合せ機能等
ネットワーク基盤の安全性を確認するため、ネットワーク上に配置されているサーバ群やネットワーク機器に対し、被害発生が想定されうる不備(脆弱性)が存在しないか確認いたします。
Webサーバの設定、メールサーバの設定やバージョン、DNSサーバの設定等
ご利用形態 | ご利用会社 |
■ 開発工程に利用 単体テスト時に開発者自身で利用 |
・ポータルサイト運営会社 ・口コミ系サイト運営会社 |
■ ユーザテストに利用 リリース前の品質チェックで利用。 簡易レポートの結果が全て「〇」未検出の結果をテスト合格の条件としている |
・大手エネルギー会社 ・人材紹介会社 ・独立系システムインテグレータ |
■ 運用保守に利用 自社のWebサイトの定期検査に利用。 公開後のアプリケーションの定期検査。 修正追加機能のリリース前チェックに利用 |
・大手プロバイダ ・ユーザ系システムインテグレータ |
サービス種別および診断対象のリクエスト数により異なります。
サイト単位での診断となります。
診断結果報告書(サイト単位での報告書)
ゴールドプラス、ゴールド共に基本費用に含まれます。
・危険度の高い脆弱性を検出した際は、速報を提出
・報告会実施の場合:報告会実施後1ヶ月間、メールによるお問い合わせ
・報告会未実施の場合:報告書送付日から2週間、メールによるお問い合わせ
・改修完了後に再現確認診断を実施し、結果報告書を提出致します(オプション)
診断項目 | プラチナ | ゴールドplus | ゴールド |
SQLインジェクション (SQL Injection) |
〇 | 〇 | 〇 |
OSコマンドインジェクション (OS Command Injection) |
〇 | 〇 | 〇 |
パラメータ操作 (Parameter Manipulation) |
〇 | 〇 | 〇 |
クロスサイトスクリプティング (XSS) |
〇 | 〇 | 〇 |
Cookieの使用方法 (Insecure Cookie) |
〇 | 〇 | 〇 |
不要なエラーメッセージ | 〇 | 〇 | 〇 |
バッファオーバーフロー (Buffer Overflow) |
〇 | 〇 | 〇 |
セッションフィクセーション (Session Fixation) |
〇 | 〇 | 〇 |
クロスサイトリクエスト フォージェリーズ(CSRF) |
〇 | 〇 | 〇 |
HTTPSの使用方法 (Insecure Protocol) |
〇 | 〇 | 〇 |
不要な情報 (Unnecessary Information) |
〇 | 〇 | 〇 |
不要なディレクトリ・ファイル (Unnecessary Files) |
〇 | 〇 | 〇 |
サーバの設定ミス (Misconfigured Server Setting) |
〇 | 〇 | 〇 |
プログラムの既知の脆弱性 (Known Vulnerability) |
〇 | 〇 | 〇 |
なりすましによる不正利用 | 〇 | 〇 | |
ログイン・ログアウト機能の妥当性 | 〇 | 〇 | |
権限詐称による情報閲覧 | 〇 | 〇 | |
強制閲覧 (Forceful Browsing) |
〇 | 〇 | |
不要なHTMLソースコメント (Client Side Comment) |
〇 | 〇 | |
コンサルタントの経験による サイト特性に応じた応用的な調査 |
〇 |
・ゴールドの範囲を含む全ての項目に対して手動を軸とした診断
・業種及びサイト特性に合せ、応用的かつ複合条件で発生する問題への診断
・ゴールドをベースに、セッション管理の評価などを手動にて実施
・独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが手動で結果精査を行います
・独自開発ツールによる診断をベースとしており、検出結果に対し専門コンサルタントが手動で結果精査を行います
攻撃者の観点で疑似攻撃を行い、システム構成要素(インストールされているソフトウェア及びバージョン)、設定から被害につながる挙動があるか確認いたします。
種別 | 診断項目 | 診断内容 |
ネットワーク情報の取得 | ポートスキャン | サービス |
使用OSの推測 | 使用ソフトウェアの検出 | |
ホスト名の調査 | 情報収集 | |
脆弱性の検出 | POP(メールサーバ) | 使用ソフトウェアの検出 |
SMTP(メールサーバ) | 使用ソフトウェアの検出 | |
VRFY調査、確認 | ||
不正リレー調査、確認 | ||
DNS | 使用ソフトウェアの検出 | |
再帰問合の調査、確認 | ||
FTP | 使用ソフトウェアの検出 | |
匿名アカウントによる接続 | ||
SSH | 使用ソフトウェアの検出 | |
認証方法の調査、確認 | ||
TELNET | 使用ソフトウェアの検出 | |
SUNRPC | RPC情報取得 | |
SNMP | コミュニティ名の推測 | |
MIB情報の取得 | ||
SMB | アカウント情報の収集 | |
ファイル共有状態の確認 | ||
NetBIOS情報の収集 | ||
NTP | 使用ソフトウェアの検出 | |
HTTP及びHTTPS | 使用ソフトウェアの検出 | |
SSLの強度調査、確認 | ||
不要なファイルの検出 | ||
不要なディレクトリの検出 | ||
WebDavとFrontPageの調査、確認 | ||
アプリケーションマッピング調査、確認 | ||
プロキシの不正利用調査、確認 |