情報漏洩につながる脆弱性が存在しないかを確認する『脆弱性診断』は今や欠かせないものになりました。
一方、脆弱性診断の品質への不安や費用の高騰など、企業の悩みは尽きません。
富士ソフトでは、長年のWebシステム開発及びセキュリティ対策のノウハウから、
高品質かつ適正な診断のご提供が可能ですので、是非ご相談ください。
富士ソフトのWeb脆弱性診断の特長
-
Webシステム開発を熟知した富士ソフトのシステムエンジニアが、システム特性に合わせた診断項目・診断範囲を選定し、過剰な検査による費用の増加を防ぎます。
-
診断ツールによる検査と手動オペレーションによる検査を併用し、診断ツール主体の診断手法では実現できない高レベルの診断をご提供します。
-
診断が原因でサーバ等に影響を与え、サービス停止や業務の中断などが発生しない様、安全性を充分に考慮した診断手法と、最大限の人的注意を払いながら診断を実施しています。
Webアプリケーション診断とは
Webアプリケーション診断は、WebブラウザからWebサーバに送信されるリクエストに含まれる各種パラメータをツールや手動で改ざんし、そのレスポンスからWEBアプリケーションの脆弱性を判断します。
作業は目視での異常検知と負荷調整や充分なインターバルをとるなど、システムへの影響を考慮して障害発生について最大限に配慮して行います。
診断項目はIPA※が示す脆弱性を網羅し、「SQLインジェクション」「セッション管理の不備」「クロスサイトスクリプティング」などの26項目を実施します。
Webアプリケーション診断の診断項目
| No. | 診断項目 | 危険度 | ツール | 手動 | IPA |
|---|---|---|---|---|---|
| 1 | セッション管理の不備 | 高 | |||
| 2 | セッションフィクセーション | 中 | |||
| 3 | クロスサイトリクエストフォージェリ | 中 | |||
| 4 | クロスサイトスクリプティング | 高〜中 | |||
| 5 | クリックジャンキング | 中 | |||
| 6 | SQLインジェクション | 高 | |||
| 7 | OSコマンドインジェクション | 高 | |||
| 8 | ディレクトリトラバーサル | 高 | |||
| 9 | SSIインジェクション | 高 | |||
| 10 | XMLインジェクション | 高 | |||
| 11 | XPathインジェクション | 高 | |||
| 12 | XQueryインジェクション | 高 | |||
| 13 | LDAPインジェクション | 高 | |||
| 14 | MXインジェクション | 高 | |||
| 15 | HTTPレスポンスの分割 | 高 | |||
| 16 | リモートファイルインクルード | 高 | |||
| 17 | 通信の暗号化 | 中 | |||
| 18 | 証明書の不備 | 中 | |||
| 19 | Pefererによる情報漏洩 | 中 | |||
| 20 | ユーザID等の調査 | 中 | |||
| 21 | 詳細なエラーメッセージ | 低 | |||
| 22 | 拡張子偽造 | 高〜低 | |||
| 23 | コメント・デバッグ情報 | 高〜低 | |||
| 24 | アプリケーション固有の問題 | 高〜低 | |||
| 25 | フォーマットストリング | 高〜低 | |||
| 26 | バッファオーバーフロー | 高〜中 |
プラットフォーム診断とは
サーバーやネットワーク機器のプラットフォーム(OSやミドルウェアなど)における脆弱性を診断します。
ホワイトハッカーが、実際の攻撃者と同じ目線でツールと手動を駆使した攻撃を行い、お客様のプラットフォームにおける脆弱性を調査します。
また、診断だけでなく、検出された脆弱性に対して具体的な改善策をご報告します。
プラットフォーム診断の診断項目
主に以下の項目を情報収集、診断致します。
- OSの脆弱性チェック
- デフォルトアカウント使用のチェック
- 第三者中継(SPAM)のチェック
- ミドルウェアの脆弱性チェック
- 推測可能なパスワードのチェック
- 証明書の有効性チェック
- アプリケーションの脆弱性チェック
- 通信の盗聴可否のチェック(暗号化)
- サンプルスクリプトの有無のチェック
実施の流れ
-
お見積り・ご発注
診断対象などを選定の後、お見積書を作成します。
今すぐお問い合わせ
診断期間や対象などを決定の上、お見積内容に基づき、ご発注いただきます。 -
事前調整・内容確認書作成
診断内容確認書を作成します。必要に応じて事前の導通確認など細部の確認を行います。
-
診断
ご指定の時間帯で診断作業を行います。基本は、平日日中(10時~18時)です。
夜間、休日をご希望の場合は、ご契約前にお申し付けください。 -
速報
診断中に緊急度の高い脆弱性が発見された場合、速報としてご連絡します。
-
結果分析/報告書作成
診断結果を報告書として取りまとめ、納品いたします。※診断終了後10営業日以内
-
報告会
ご希望により、専門エンジニアが内容を説明する報告会を開催します。
-
再診断
脆弱性が検出された箇所をお客様側で改修された後、同様の脆弱性が検出されないかを再度診断します。
その他脆弱性診断サービス
-
1
スマホアプリ診断
iOSやAndroidのスマホアプリにセキュリティ上の問題点がないか、JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断を実施
-
2
クラウドセキュリティ診断
クラウドサービス(Microsoft365/ Azure/ AWS/ GCP)が適切に設定されているかを診断
-
3
ペネトレーションテスト
実際の脅威を想定したシナリオをベースに、攻撃者と同じ攻撃行為を行うことによって、お客様のセキュリティ対策の有効性を確認
-
4
ソースコード診断
Webアプリケーションのソースコード自体を診断