株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

もっと知る
お客様導入事例

株主・投資家向けの情報を掲載しています

IR情報トップを見る

最新のIRニュース

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

サービスについて

電話で相談する

0120-362-119

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

電話で相談する

0120-362-119

メールで相談する

サイバー救急センター®のメールアドレス
サービスについて
  1. サービス・製品
  2. 調査・診断・コンサルティング

セキュリティ診断

Webアプリケーション診断

フォームから問い合わせる

Webアプリケーション診断は、攻撃者の視点から様々な疑似攻撃を考察・試行することで、Webアプリケーションの安全性を徹底的に調査します。

動画を配信中
Webアプリケーション診断を中心に、サービスの特長、診断に求められる5つの要素などについてご紹介しております。
セキュリティ診断サービスのご紹介を動画で配信中

Webアプリケーション診断の概要

Webアプリケーション診断は、攻撃者の視点から様々な疑似攻撃を考察・試行することで、Webアプリケーションの安全性を徹底的に調査します。お客様は、Webアプリケーション診断の結果に基づいて対策を施すことにより、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害の発生を未然に防ぐことができます。一般的に、Webアプリケーション診断の手法として、(1)診断ツール、(2)専門家の手動、(3)両者の併用、の3つがあります。いずれの手法も、診断対象となるWebアプリケーションに対し、「シグネチャ」と呼ばれる特別な文字列を送ったり、処理を実行し、その応答結果や動作から脆弱性の有無を判断します。診断ツールは効率の面で優れている半面、脆弱性の見逃しや誤検出が発生する場合があるため、ラックでは、(2)の診断を中心としつつ、お客様のご要望に応じて、独自に開発した診断ツールと手動を組み合わせた(3)の診断も実施しています。

Webアプリケーション診断の対象となるのは、主に以下のようなサイトです。

  • ショッピングサイト
  • 会員制サイト
  • 検索機能を有する各種情報提供サイト
  • 社内向け業務管理サイト
  • お申し込み・アンケート受付サイト
  • スマートフォン・モバイル向けサイト
  • Web API

※ 上記は一例ですので、対象サイトについてはお気軽にご相談ください。

Webアプリケーション診断の概要のイメージ画像

約85%のサイト(※)に問題点が存在
webアプリケーションのセキュリティが求められる理由

修正が必要な問題があると診断されたサイト

(※弊社基準による)近年、Webアプリケーションの脆弱性(弱点)を狙った攻撃が増加しています。脆弱性を放置したままWebサイトを公開していると、データベースに格納された機密情報や個人情報が外部に流出したり、サービスを不正に利用されるなど、企業の継続に関わる重大な問題に発展する可能性があります。過去に弊社が診断したサイトでは、およそ85%のサイトに何らかの脆弱性があるという結果が出ています。一般的に、Webアプリケーションは、開発を担当する会社や個人によって作り方が異なるため、内在する脆弱性も様々です。そのため、市販の脆弱性診断ツールで診断を行っていても、脆弱性を見落としてしまう可能性があります。脆弱性をもれなく発見するためには、個々のWebアプリケーションの仕組みや特性を考慮したきめ細かな診断が必要となります。

そのため弊社では、市販のツールを用いた診断や、自社内での診断を実施されている場合でも、経験豊富な専門家の視点で診断を実施することをおすすめしています。

Webアプリケーション診断の特長

お客様のWebアプリケーションに存在するセキュリティリスクを徹底調査

ラックの熟練したセキュリティ専門家が、サイト攻撃者の立場で様々な観点から攻撃手法を考察・試行します。お客様のWebアプリケーションの仕様や特性等も加味しながら、多様な手法で診断を実施することで、次のようなセキュリティリスクを発見することができます。

  • 他人になりすまして不正にシステムにログインすることが可能か
  • 個人情報や機密情報などの重要データを取得可能か
  • 管理者権限を取得することが可能か
  • データベースに不正にアクセスすることが可能か
  • アクセス制御されているリソースに不正にアクセスすることが可能か

最新の攻撃手法を診断パターンに反映

24時間365日リアルタイムでセキュリティ監視を行う「JSOC」、最新の脅威や動向を研究する機関である「サイバー・グリッド研究所」、セキュリティ事故の緊急対応を行う「サイバー救急センター」から得た最新の攻撃手法や脆弱性情報を反映し、診断を実施します。

実績

ラックは1995年にセキュリティ事業を開始し、セキュリティ診断サービスについては約8,300団体の豊富な導入実績があります。蓄積された過去の膨大な診断結果は統計データ化しており、お客様の診断結果を評価・分析する際に活用しています。

※ 2018年4月時点

診断の効率化を追求

お客様のWebアプリケーションは、ひとつとして同じものはありません。セキュリティ診断の品質を高めるためには、そうしたお客様固有の仕様や特性等も加味しながら柔軟に対応する必要があり、その結果多くの時間を要することもあります。弊社では長年の診断経験を生かして独自の診断ツールを開発するなど、診断 業務の効率化にも注力して参りました。診断の品質を下げることなく、結果をいち早くお客様にお届けできるように日々改善しています。

各種セキュリティ指標に対応

クレジットカード業界のセキュリティ標準であるPCI-DSSで参照されている「OWASP Top 10」や、情報処理推進機構の「セキュリティ実装チェックリスト」に含まれる脆弱性を診断対象とするなど、各種セキュリティ指標にも対応しています。

※ OWASPは、Webアプリケーションのセキュリティ向上を目的とした米国の団体で、調査や開発の成果物を誰でも利用できるように公開しています。「OWASP Top Ten Project」では、Webアプリケーションの脆弱性トップ10を掲載しています。

サービス内容

主な診断項目は以下の通りです。経験豊富な専門家が、お客様のWebアプリケーションに合わせて診断を実施いたします。

クロスサイトスクリプティング診断

不正なスクリプト文字列やHTMLタグなどを送信した際、入力文字が適切に処理されているかチェックします
SQLインジェクション診断

Webアプリケーションを通じて、データベースから情報を抜き出せないかチェックします
セッション管理診断

権限が適切に管理されているかチェックします
認証診断

認証機能に不備がないかチェックします
ファイル拡張子診断

不正なファイル操作が行われないかチェックします
OSコマンドインジェクション診断

不正なコマンドを実行できないかチェックします
ディレクトリトラバーサル診断

ディレクトリをさかのぼり、本来閲覧不可能なファイルにアクセスできないかチェックします
権限昇格診断

ユーザ権限から管理者権限などへの不正な昇格が可能かチェックします
パラメータ書き換え診断

任意のパラメータなどを追加し、問題が発生しないかチェックします
Webアプリケーション固有の問題についての診断

その他、システム障害や利用者に影響のある問題がないかチェックします

セキュリティ診断の流れ

セキュリティ診断の流れ

診断結果報告書イメージ

診断報告書には、診断結果の総評、評価ランク(5段階)をはじめ、診断結果の詳細・発見された脆弱性およびその確認方法・セキュリティリスクレベル(緊急度)・推奨する対策などを記載し、お客様が改善実施すべき事項を明確にご提示いたします。 また、業種別の統計情報も掲載しますので、同業他社に比べて自社がどの程度のレベルなのかということなども知ることができます。

診断結果報告書イメージ

価格

参考価格:1サイト(20画面遷移) 1,000,000円~

* 上記は平日日中、インターネット経由で診断を行った場合の金額です。
* お客様のシステム構成によりお見積もり金額は、異なる場合がございます。

お見積もりについて

「概算のお見積もり」をご希望のお客様は、「画面遷移数の計算方法」をご利用いただけます。診断対象(システム毎の画面遷移数)の情報を当社までお知らせいただきましたら、お早めに概算お見積書をご提出いたします。

概算お見積り用計算方法

ラックのWebアプリケーション診断は、「サイト数」と「画面遷移数」をもとに、金額と作業スケジュールをお見積もりいたします。

【サイトの数え方】

デバイスによるサイト数

デバイスに関係なく、アクセスするWebアプリケーションが1つの場合は、1サイトと数えます。

アクセスするWebアプリケーションが1つの場合は、1サイト

デバイス毎にアクセスするWebアプリケーションが異なる場合は、それぞれを1サイトと数えます。

デバイス毎にアクセスするWebアプリケーションが異なる場合は、それぞれを1サイト

【画面遷移数】

リンクやボタンを押下して、対象となる画面遷移数(リクエスト数)を数えます。

例)ログイン画面の場合

ログイン画面の場合<

例)同一画面内に複数のページを表示する場合

同一画面内に複数のページを表示する場合

例)検索画面等で同一画面内に処理が行われる場合

検索画面等で同一画面内に処理が行われる場合

※ 画面遷移はブラウザからサーバに送られるリクエストによって行われます。1リクエストあたりのパラメータ数の上限は20パラメータです。 20パラメータを超える場合は、20パラメータ毎に1画面遷移と数えます。50パラメータの場合は3遷移と数えます。

よくあるご質問

アマゾン ウェブ サービス(AWS)上のWebアプリケーションを診断する時に事前申請は必要ですか。
必要ありません。AWSでは、特定のEC2インスタンスタイプにおいて、診断実施が非推奨となっています。
AWSの「侵入テストのAWSカスタマーサポートポリシー」ページにて、該当するインスタンスタイプの使用有無を事前にご確認ください。
英語によるサービスの提供は可能でしょうか。
はい。可能です。ご相談時にお知らせください。
再診断は可能でしょうか。
はい。可能です。報告書の納品から1ヶ月間のサポートとして、危険度の高い脆弱性はご希望に応じて再診断いたします。診断員がお伺いして再診断する場合は、別途お見積もりになります。詳しくは弊社までご相談ください。

関連サービス

Webアプリケーション診断の関連サービスをご紹介しております。

ホームページ・パフォーマンス診断サービス

負荷テストサービス

スマートフォンアプリケーション診断

お問い合わせ

Webアプリケーション診断に関するお問い合わせ

お問い合わせフォーム

よくあるご質問
お見積もりについて

いま注目されているサービス

  • penetration_top.png

    全セキュリティ診断のノウハウを活用した総合的セキュリティサービス「ペネトレーションテストサービス」を実現

  • Akamai.png

    サイバー攻撃の脅威からWebサイトを守り、高速で安定したサービス提供をサポート

  • splunk_top.png

    セキュリティ監視センターJSOC®が「Splunk® Enterprise」を使い多様なログを収集・分析する「SIEM監視サービス」を提供

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

購読する

page top