サービス
アプリケーション脆弱性診断
オープンソースをベースに開発したWebアプリケーションや独自開発をしたアプリケーションの脆弱性を狙った攻撃によるものが増えています。
その結果、Webサイトの改ざんや情報漏洩等が起き社会問題となっております。
今、企業が求められているものは、まず自社で運営しているWebサイトに潜む脆弱性の有無を診断し、その対策を講じることが求められております。アプリケーション脆弱性診断サービスは、貴社のWebサーバーで稼働しているWebアプリケーションの脆弱性を専用アプリケーションで診断し、問題点をご報告するサービスになります。
■診断ツールは、PCI DSS※を準拠するための専用アプリケーションを用いてテストを行います。
※PCI DSS(Payment Card Industry Data Security Standard)とは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。
アプリケーション脆弱性診断概要
基本、弊社の拠点から専用診断ツールを使用し、
貴社のテスト環境もしくは本番環境へリモート診断を行います。
※お客様拠点でのオンサイト診断は、別途ご相談させてください。
※本番環境での診断の場合、アプリケーションでの障害を及ぼす可能性があるためテスト環境での診断を推奨しています。
アプリケーション脆弱性診断による侵入検査
PCIDSS要件のセキュリティガイドラインで定めたテスト項目です。
| インジェクションの不具合 | SQLインジェクション、OSコマンドインジェクション、LDAP 、Xpathの不具合を考慮し、コーディング及び検査する。 |
|---|---|
| バッファオーバーフロー | バッファオーバーフローの不具合を考慮し、コーディング及び検査する。 |
| 安全でない暗号化保存 | 暗号化の欠陥を防ぐために安全でない暗号化保存の不具合を考慮し、コーディング及び検査する。 |
| 安全でない通信 | 認証された全てのセンシティブ通信を確実にするために安全でない通信の不具合を考慮し、コーディング及び検査する。 |
| 不適切なエラー処理 | エラーメッセージで重要なシステム情報を開示しないために不適切なエラー処理の不具合を考慮し、コーディング及び検査する。 |
| クロスサイトスクリプティング | クロスサイトスクリプティングの不具合を考慮し、コンテクスト依存エスケープコードを使用するなどしてコーディングし、全てのパラメータを検査する。 |
| 不適切なアクセス制御 | 安全でないオブジェクトの直接参照やURLアクセス制限の失敗、ディレクトリトラバーサルなど不適切なアクセス制御の不具合を考慮し、コーディング及び検査する。 |
| クロスサイトリクエストフォージェリ | 悪意のあるサーバを参照したブラウザによって自動的に送信される資格情報およびトークンの承認に応答しないようにクロスサイトリクエストフォージェリに考慮し、コーディング及び検査する。 |
| 不完全な認証管理とセッション管理 | 不完全な認証管理とセッション管理について以下を含めコーディング及び検査する。
|
アプリケーション脆弱性診断レポート
診断レポートを提出いたします。
診断結果による対策相談、レポート報告会はオプションサービス(別途有料)にて対応させていただきます。
外部ネットワーク脆弱性診断
外部ネットワーク脆弱性診断による侵入検査概要
基本、弊社の拠点から専用診断ツールを使用し、貴社の本番環境へリモート診断を行います。
※お客様拠点でのオンサイト診断は、別途ご相談させてください。
外部ネットワーク脆弱性診断による侵入検査項目
| 01 | 認証処理を実行するスクリプト |
|---|---|
| 02 | リモートホスト・サービスの認証処理に対してブルートフォース(総当たり推測)を実行するスクリプト |
| 03 | 調査対象のネットワークに関して追加情報を取得しようとするスクリプト |
| 04 | 調査対象のアプリケーションを悪用できる可能性のあるスクリプト |
| 05 | 第三者のサーバーにネットワーク経由でデータを送信するスクリプト |
| 06 | 未知のバグを検出するため調査対象に不正かつ無作為なデータを送信するスクリプト |
| 07 | 調査対象がマルウェアやバックドアに感染しているかテストするスクリプト |
| 08 | 安全に実行できる(サーバーを機能停止状態にしない)スクリプト |
| 09 | 調査対象上で稼働しているアプリケーションのバージョン情報を識別するスクリプト |
| 10 | 調査対象に特定の攻撃に対する脆弱性が存在するかどうかチェックするスクリプト |
内部(ミドルウェア)脆弱性診断
内部(ミドルウェア)脆弱性診断報告内容
米国政府の支援を受けた非営利団体のMITRE社が管理している脆弱性情報データベースを参照し脆弱性の有無を確認します。
CVSSスコア(脆弱性評価指標)が 4.0 以上の脆弱性を検知
| 01 | CVEデータベースを参照し脆弱性の有無を確認します。 |
|---|---|
| 02 | CVEはソフトウェアの脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が提供している脆弱性情報データベースです。 |
| 03 | CVSSスコア(脆弱性評価指標)が 4.0 以上の脆弱性を検知 |
| 04 | PCIDSSの要件では脆弱性を特定するプロセスにおいて、CVSSスコア4.0未満を推奨されております。 |
内部(ミドルウェア)脆弱性診断概要
基本、弊社の拠点から専用診断ツールを使用し、貴社の本番環境へリモート診断を行います。
※お客様拠点でのオンサイト診断は、別途ご相談させてください。
お問い合わせフォーム
お電話でのお問い合わせ
お急ぎの場合はお手数ですが、
こちらの当社代表番号よりお問い合わせくださいますようお願いいたします。
098-860-6688
(営業時間 平日9:00~18:00)