診断して終わりではない。診断結果に基づくセキュリティ対策を提案するソリューション型セキュリティ診断です。
悪意ある第三者によるWebサイトへの攻撃はますます巧妙になってきています。Webアプリケーションの普及に伴い、SQLインジェクションなどによる攻撃が増加し、Webサイトの情報はつねに危険にさらされているのです。
セキュリティ診断をうけることは、さまざまな脅威からシステムや顧客を守るだけではなく、システムを永続的かつ安全に利用するために有効です。自社サイトのリスクを的確に把握し、情報漏えいなどの被害を事前に防ぐには、健康診断のように定期的なセキュリティ診断が有効です。
診断メニュー
| 診断メニュー | 概要 |
|---|---|
| 無料WEB診断 | SQLインジェクションなどの攻撃パターンから、お客様WEBサイトのセキュリティリスクを報告します。セキュリティ診断未実施のお客様に最適です。 |
| WEBアプリケーション診断 | LASDEC健康診断準拠やOWASP Top10のWEBアプリケーション診断を行います。必要に応じて、その他の診断項目も追加します。 |
| ソースコード診断 | お客様からソースプログラムを開示いただき、ソースを分析し、内側から脆弱性の原因となりうる点を洗い出し、改善策を提示します。 |
| スマートフォン セキュリティ診断 |
スマートフォンアプリ、スマートフォンと通信するサーバや、スマートフォン向けに最適化したWEBアプリケーションを対象に、脆弱性調査を行います。 |
| プラットフォーム診断 | サーバやミドルウェアの設定ミス、セキュリティパッチの有無をはじめ、ファイアウォールの状態などを確認します。また、FTPやSSH等のアカウント管理、脆弱なパスワードの有無を確認します。 |
特徴
主な診断項目
| リスク | 悪用難易度 | 認知度 | 発見難易度 | ビジネスインパクト |
|---|---|---|---|---|
| インジェクション | 容易 | 中程度 | 中程度 | 深刻 |
| XSS | 中程度 | 高い | 容易 | 中程度 |
| 不完全な認証とセッション管理 | 中程度 | 中程度 | 中程度 | 深刻 |
| オブジェクト直接参照 | 容易 | 中程度 | 容易 | 中程度 |
| CSRF | 中程度 | 高い | 容易 | 中程度 |
| 暗号化の不備 | 困難 | 低い | 困難 | 深刻 |
| URLアクセス制御の不備 | 容易 | 低い | 中程度 | 中程度 |
| トランスポート層の設定不備 | 困難 | 中程度 | 容易 | 中程度 |
| リダイレクトとフォワード | 中程度 | 低い | 容易 | 中程度 |
※OWASP準拠のTop 10 Application Security Risks に基づき診断項目をお客様環境に合わせて策定します
- プラットフォーム診断項目
-
TCPスキャン
UDPスキャン
バナー情報収集調査
その他主要サービスの調査
FTP、SSH、Telnet、SMTP、POP、DNS、Finger、HTTP/HTTPS、Auth、SNMP、SMB/CIFS、RPC、IPsec、RConsole等
診断までの流れ
※画面数や診断内容によって個別でスケジューリングします。
※作業中の場合でも、作業進捗を随時途中報告します。
