株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ診断

Webアプリケーション診断

Inspection & Consulting

Webアプリケーションに対し攻撃者視点から様々な疑似攻撃を考察・試行し、安全性を徹底的に調査

攻撃者の視点から様々な疑似攻撃を考察・試行することで、Webアプリケーションの安全性を徹底的に調査します。診断結果に基づいた対策を行うことで、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害を未然に防ぐことができます。

サービスの強み

独自のツールと専門家による確かなWebアプリケーション診断

Webアプリケーション診断の手法は、診断ツール、専門家の手動診断、そして両者の併用の3つのパターンがあります。いずれの手法も、診断対象となるWebアプリケーションに対し、「シグネチャ」と呼ばれる特別な文字列を送ったり、処理を実行し、その応答結果や動作から脆弱性の有無を判断します。診断ツールは効率的な半面、脆弱性の見逃しや誤検出が発生する場合があるため、ラックでは、専門家の手動診断を中心としつつ、要望に応じて独自開発の診断ツールと組み合わせた診断も実施しています。

Webアプリケーション診断の特長

  1. Webアプリケーションの仕様や特性に合わせた多様な手法で診断
    熟練したセキュリティ専門家が、Webアプリケーションの仕様や特性を考慮し、なりすましによる不正ログイン、個人情報など重要データ窃取、管理者権限の不正取得、データベースへの不正アクセス、アクセス制御リソースへの不正アクセスなど、様々なセキュリティリスクを発見します。
  2. 最新の攻撃手法を
    診断パターンに反映
    24時間365日リアルタイムでセキュリティ監視を行う「JSOC」、最新の脅威や動向を研究する機関である「サイバー・グリッド研究所」、セキュリティ事故の緊急対応を行う「サイバー救急センター」から得た最新の攻撃手法や脆弱性情報を反映し、診断を実施します。
  3. 信頼の実績
    ラックは1995年にセキュリティ事業を開始し、セキュリティ診断サービスについては約19,700団体の豊富な導入実績があります。蓄積された過去の膨大な診断結果は統計データ化しており、お客様の診断結果を評価・分析する際に活用しています。(※ 2020年10月末現在)

セキュリティ診断の流れ

  1. ヒアリング
    企業からの要望や予算に応じて、最適な診断範囲を決定します。
  2. 診断
    診断対象となるWebページやサーバー、ネットワーク機器の安全性を確認します。
  3. 分析
    診断結果をもとに脆弱性を洗い出し、セキュリティリスクを分析します。
  4. 診断報告書
    総合評価、検出された問題点、対策の解説、統計情報をまとめた診断結果報告書を提出します。
  5. 報告会
    発見された問題点の解説や影響、対策の説明、対応の優先順位づけ等を含めた報告会を行います。
  6. 改善実施のお手伝い
    報告書提出日から3ヶ月間、お問合せに対応します。

サービス内容

主な診断項目は以下の通りです。経験豊富な専門家が、お客様のWebアプリケーションに合わせて診断を実施いたします。

クロスサイトスクリプティング診断 不正なスクリプト文字列やHTMLタグなどがWebページに挿入可能かどうかチェックします
SQLインジェクション診断 Webアプリケーションを通じて、データベースから情報を抜き出せないかチェックします
セッション管理診断 セッション管理に使用されている情報が推測できるかなど、Webアプリケーションのセッション管理に不備がないかチェックします
認証診断 認証機能を回避できるかなど、認証機能に不備がないかチェックします
ファイル拡張子診断 不正なファイル操作が行われないかチェックします
OSコマンドインジェクション診断 不正なコマンドを実行できないかチェックします
ディレクトリトラバーサル診断 ディレクトリをさかのぼり、本来閲覧不可能なファイルにアクセスできないかチェックします
権限昇格診断 ユーザ権限から管理者権限などへの不正な昇格が可能かチェックします
パラメータ書き換え診断 パラメータの書き換えや追加を行い、問題が発生しないかチェックします
Webアプリケーション固有の問題についての診断 診断対象Webアプリケーション固有の動作に利用者に影響のある問題がないかチェックします

診断結果報告書イメージ

診断報告書には、診断結果の総評、評価ランク(5段階)をはじめ、診断結果の詳細・発見された脆弱性およびその確認方法・セキュリティリスクレベル(緊急度)・推奨する対策などを記載し、お客様が改善実施すべき事項を明確にご提示いたします。また、業種別の統計情報も掲載しますので、同業他社に比べて自社がどの程度のレベルなのかということなども知ることができます。

診断結果報告書イメージ

よくあるご質問

アマゾン ウェブ サービス(AWS)上のWebアプリケーションを診断する時に事前申請は必要ですか。
必要ありません。AWSでは、特定のEC2インスタンスタイプにおいて、診断実施が非推奨となっています。
AWSの「侵入テストのAWSカスタマーサポートポリシー」ページにて、該当するインスタンスタイプの使用有無を事前にご確認ください。
英語によるサービスの提供は可能でしょうか。
はい。可能です。ご相談時にお知らせください。
再診断は可能でしょうか。
はい。可能です。報告書の納品から1ヶ月間のサポートとして、危険度の高い脆弱性はご希望に応じて再診断いたします。診断員がお伺いして再診断する場合は、別途お見積もりになります。詳しくは弊社までご相談ください。

価格

参考価格:1サイト(20画面遷移) 1,000,000円~

* 上記は平日日中、インターネット経由で診断を行った場合の金額です。
* お客様のシステム構成によりお見積もり金額は、異なる場合があります。

お見積りについて

「概算のお見積もり」をご希望のお客様は、お問合せ時に診断対象(システム毎の画面遷移数)の情報を頂けると、早めに概算お見積書の提出が可能です。

※ 画面遷移数の情報については下記の「画面遷移数の計算方法」を参照ください。

概算お見積り用計算方法

ラックのWebアプリケーション診断は、「サイト数」と「画面遷移数」をもとに、金額と作業スケジュールをお見積もりいたします。

【サイトの数え方】

デバイスによるサイト数

デバイスに関係なく、アクセスするWebアプリケーションが1つの場合は、1サイトと数えます。
(PCサイトと同じ扱いで診断を実施します。)

アクセスするWebアプリケーションが1つの場合は、1サイト

デバイス毎にアクセスするWebアプリケーションが異なる場合は、それぞれを1サイトと数えます。

デバイス毎にアクセスするWebアプリケーションが異なる場合は、それぞれを1サイト

【画面遷移数】

リンクやボタンを押下して、対象となる画面遷移数(リクエスト数)を数えます。

例)ログイン画面の場合

ログイン画面の場合

例)同一画面内に複数のページを表示する場合

同一画面内に複数のページを表示する場合

例)検索画面等で同一画面内に処理が行われる場合

検索画面等で同一画面内に処理が行われる場合

※ 画面遷移時に生じるブラウザからサーバへのリクエストを改ざんし脆弱性の有無を確認します。そのため、お見積りの単位は画面遷移数(リクエスト数)としています。1リクエストあたりのパラメータ数の上限は20パラメータ迄としております。20パラメータを超える場合は、20パラメータ毎に1画面遷移と数えます。50パラメータの場合は3遷移と数えます。

「Webアプリケーション診断」に関するお問い合わせ