Webアプリケーション診断

経験豊富なWebアプリケーション診断士や情報処理安全確保支援士などが診断を担当し
それぞれのWebアプリケーションの仕様・特長に最適な診断を行います。
診断仕様・作業工程・日程など、お客様のご都合に柔軟に対応しております。

Webアプリケーション診断とは

Webアプリケーションの脆弱性診断とは、Webサイトのアプリケーションに対して、セキュリティ上の欠陥や問題点(脆弱性)を洗い出すWebアプリケーションに特化した検査のことです。
ツールスキャナーや脆弱性診断士による手作業の確認を組み合わせて実施します。Webアプリケーションに攻撃用文字列を送信して挙動を確認し、網羅的に脆弱性を検出します。

Webアプリケーション診断により、これまで見えていなかったWebアプリケーションのセキュリティ上の欠陥を明らかにし、対処していただくことで、攻撃を未然に防ぎ、お客様のWebアプリケーションを安全に利用できるように導きます。

主な診断カテゴリと脆弱性名は以下のようになっています。

  • 各種インジェクション攻撃の実行可否

    ・SQLインジェクション
    ・OSコマンドインジェクション
    ・メール関連のインジェクション

  • クロスサイトスクリプティングの実行可否

    ・クロスサイトスクリプティング
    ・DOMベースのクロスサイトスクリプティング

  • 認証機能の不備・パラメータの改ざん可否

    ・パラメータの改ざん

  • アクセス制御の不備

    ・パストラバーサル

  • 設定の不備

    ・HTTPリクエストスマグリング
    ・Secure属性の設定されていないCookie変数

  • 正規ユーザに対する強制処理実行の可否

    ・クロスサイトリクエストフォージェリ

Webアプリケーション診断の主な特長

特長1あらゆるWebアプリケーションに対応

それぞれのWebアプリケーションに最適な診断を、ツールによるスキャンと手作業診断を組み合わせて実施します。

特長2ツールスキャンから専門エンジニアが担当

厳格なセッション管理や複雑な遷移を持つWebサイトでは、ツールスキャンも容易でないケースが少なくありません。診断の第一歩である対象Webアプリケーションでの正常処理とその後の診断での処理不全を防止するため、ツールスキャンも専門性の高い診断士が確認を進めます。

特長3多様なセキュリティ基準との対照が可能

当社診断仕様とお客様がご参考にされている診断基準との対照表をご提示いたします。
実際の診断では、診断基準に基づいた脆弱性カテゴリと診断対象機能での実施有無をマトリックスにしてご提供いたします。

特長4どの段階でもお見積りのご提供が可能

本番運用中の環境からまだ構想段階のサービスまで、Webアプリケーション診断を検討されるあらゆる段階でお見積りできます。

Webアプリケーション診断の流れ

  1. STEP01

    お見積り・事前調査

    価格のお見積りや日程調整後、診断実施前に事前疎通確認を行います。

  2. STEP02

    診断実施

    脆弱性診断士による診断を実施いたします。
    緊急性の高い脆弱性が検出された場合、診断実施途中に速報を納品してご報告差し上げます。
    診断完了後、報告書を納品いたします。

  3. STEP03

    報告会(オプション)

    オプションで報告会を実施いたします。(オンライン・オフライン可)
    脆弱性が発見された場合の修正・対処は、お客様側でご対応いただきます。

  4. STEP04

    改修確認

    報告書納品から3ヶ月以内にご希望いただいた場合、報告書記載の脆弱性が適切に改修されているかどうかの再診断を実施いたします。

Webアプリケーション診断の報告書サンプル

検出された脆弱性について、例として以下のような項目を記載しています。

・危険度

深刻、高、中、低、情報の5段階で脆弱性の危険性を評価します。すぐに対応すべき脆弱性が一目でわかります。

・解説

脆弱性の意味や、その脆弱性を悪用されるシチュエーション、悪用された場合の被害について記載します。脆弱性に対応するかどうかの判断の一助としてください。

・対処

脆弱性を解消する方法の例を提示します。脆弱性に対処する際の一助としてください。

Webアプリケーション脆弱性診断報告書の例

Webアプリケーション診断のよくあるご質問

  • Q

    本番環境のWebアプリケーション診断をしてもらいたいのですが、どのような影響が出る可能性がありますでしょうか。

    A

    診断中に多量のHTTPリクエストが送信されますので、診断対象のWebサーバに負荷がかかります。
    事前に綿密なヒアリングをすることで、本番環境に影響が出ない様に設定をして診断をすることが可能です。

  • Q

    WAFによるブロックを前提に開発している場合、WAFを含めての診断は可能でしょうか。

    A

    WAFを含めての診断は実施しておりません。
    WAFなどの不正アクセス対策機器のみでは安全性を確保することは難しいため、Webアプリケーション自体の診断も必要と考えます。

  • Q

    社内向けのWebアプリケーションなど、限られた人間のみが利用するサービスでも診断が必要でしょうか。

    A

    外部に公開していない場合、攻撃を受ける可能性は下がりますが、サービスの権限制御不備や使用しているソフトウェアの脆弱性を悪用されて、機密情報が漏洩してしまう場合もございます。
    そのため、限られた人間のみが使用するようなサービスこそ、診断・対策は行うべきと考えます。

  • Q

    Webアプリケーション診断とネットワーク診断(プラットフォーム診断)は一緒に実施するべきでしょうか。

    A

    同時に行うことで、よりセキュアなWebサービスを構築することができます。ぜひ、ご検討ください。

Webアプリケーション診断の価格

料金シミュレータを用いて、診断にかかる費用を簡単に調べることができます。

診断価格を調べる

お問い合わせ

ご不明点やご質問、詳細なお見積りなどをご希望の方は、下記お問い合わせフォームよりお気軽にお問い合わせくださいませ。

お問い合わせ

情報セキュリティサービス基準

当社のWebアプリケーション診断は、2018年2月に経済産業省によって策定された「情報セキュリティサービス基準」に適合したサービスであると認められ、IPA(独立行政法人情報処理推進機構)の公開する「情報セキュリティサービス基準適合サービスリスト」に登録されています(サービス登録番号:020-0007-20)。

ネットワーク診断(プラットフォーム診断)をご希望の方

アプリケーションだけではなくWebアプリケーションサーバやWebサーバの脆弱性も確認することで、よりセキュアなWebサービスの構築が可能となります。

ネットワーク診断
(プラットフォーム診断)はこちら