概要
豊富な診断経験を持つセキュリティエンジニアが
診断後の対策方法を丁寧にご説明する脆弱性診断サービス
こんなお悩みありませんか?
自社システムの
セキュリティレベルを
把握したい
リリース前に
脆弱性診断をする
必要がある
監査対応の為に
第三者からの
セキュリティチェックが
必要
SCSKセキュリティの脆弱性診断サービスは…
高い技術
豊富な経験を持つセキュリティエンジニアが
診断結果報告の際に、具体的な修正方法まで含めた
適切な対策法を説明します。
再診断無料
お客様が対策を実施した後に、同じ脆弱性が
残っていないかを確認する再診断を
追加費用無しで対応します。
※リモート診断の場合のみ
当社が提供可能なサービス
|
Webサービス
|
クライアント
|
||
|
Webアプリケーション
|
Web
アプリケーション 診断 |
ソースコード診断
|
スマートフォン
アプリケーション診断 |
|
サードパーティーコンポーネント
|
|||
|
Webサーバー
|
プラット
フォーム 診断 |
||
|
OS
|
|||
|
ネットワーク
|
|||
診断結果に基づき、費用対効果を考慮し、
実装が可能で効果が見込める対策案についてもアドバイスします
診断結果に基づき、対策機器導入の効果測定やアプリケーションの修正方法、WAFやIPSの実装など、具体的な対策案についてもご提示します。
-
-
豊富な実績
年300件以上、通算4,000件以上の診断実績
金融(銀行・証券)
小売(百貨店)
社内環境
ECサイト
商社
官公庁・公社・団体
サービス・インフラ
メーカー(自動車、食品)
※上記は、実績の一例です。
-
-
Webアプリ開発経験のある脆弱性診断専門担当者が多く在籍しており、
大規模診断にも対応が可能です。
-
-
複合的な診断方法
ツール診断
実施できる。
手作業による診断
ツール診断の誤検知を確認できる。
-
-
ツール診断では網羅性、
手作業による診断では高い信頼性を確保できます。
Webアプリケーション開発経験のある診断エンジニアを起用することにより、
診断を高品質かつ安定的に提供することが出来ます。
-
-
技術に精通した診断員
-
-
診断技術員にWebアプリケーション開発経験者、また、豊富なセキュリティ知識とWebアプリケー
ションに対する理解を活かして高水準なWebアプリケーション診断を提供しています。
診断後の報告書にて見つけた脆弱性の具体的な修正方法に対しての対処法をアドバイスします。
-
-
診断個所の全容を把握
-
-
対象サイトの診断対象一覧を洗い出し、必要な個所に対して適切な診断を行います。
お客様の予算感に合わせて、SCSKセキュリティの脆弱性診断員が診断対象の優先順位を提示し診断対象を絞り込む提案も可能です。
-
-
情報セキュリティサービス基準に準拠
-
-
SCSKセキュリティの脆弱性診断サービスは、経済産業省が策定した情報セキュリティサービス業を提供する際に基準とする一定の技術要件及び品質管理要件である「情報セキュリティサービス基準」に適合し、認定登録されています。
診断項目
Webアプリケーション診断・API診断/ソースコード診断
| 認証系 | ・総当たり攻撃 | ・不適切な認証 | ・脆弱なパスワード | |
|---|---|---|---|---|
| 承認系 | ・証明書とセッションの推測 | ・不適切な承認 | ・不適切なセッション期限 | ・セッションの固定 |
| クライアント側での攻撃 | ・コンテンツの詐称 | ・クロスサイトスクリプティング | ||
| コマンド実行 | ・バッファオーバーフロー | ・書式文字列攻撃 | ・LDAPインジェクション | ・OSコマンド実行 |
| ・SQLインジェクション | ・SSIインジェクション | ・Xpathインジェクション | ||
| 情報公開 | ・ディレクトリ一覧の表示 | ・システム情報の漏洩 | ・パスの乗り換え | ・推測可能なリソースの位置 |
| ロジックを狙った攻撃 | ・機能の悪用 | ・サービス拒否 | ・不適切な実行プロセス | |
| 機密データの漏出 (ソースコード診断のみ対応) | ・パスワード、クレジットカード、健康記録、個人情報が暗号化されていること | ・強度の高い標準の暗号化アルゴリズムを使用していること | ||
| ・パスワードが強い標準のアルゴリズムでハッシュ化し適切なソルト化の実施をしていること | ||||
プラットフォーム診断
| 不正侵入 | ・不正ログイン | ・リモートからのプログラム実行 | ・権限の奪取 | ・アクセス制御の不備 |
|---|---|---|---|---|
| ・バックドアプログラムの存在 | ||||
| サービス妨害 | ・サービス妨害・停止 | ・Dos攻撃 | ||
| 情報漏洩 | ・不要なサービス | ・サーバプログラムのバージョン取得 | ・設定不備によるシステム情報漏洩 | ・既知の脆弱性による情報漏洩 |
スマートフォンアプリケーション診断(Android/iOS)
| 設定調査 | ・アプリケーション設定ファイル診断 | ・プライバシー情報アクセス利用権限の設定診断 | |
|---|---|---|---|
| 脆弱性調査 | ・ライブラリ、フレームワークの既知の脆弱性調査 | ||
| 情報漏洩 | ・なりすまし診断(認証方法・セッション情報管理) | ・機密情報漏洩診断(端末内データ情報) | ・機密情報漏洩診断(外部サーバ通信情報) |
| 機能の不正利用 | ・HTML表示の脆弱性(WebView)診断 | ・アプリケーション連携機能不正利用診断 | ・アプリ内課金不正利用診断 |
診断実施フロー
ご契約から診断実施、報告書ご提出まで約3週間程度で完了します。
- ※
- 図中に示されているのは標準的な所要期間です。
- ※
-
実際の実施期間は、NDA契約締結、事前情報収集等に要する期間や、アプリケーション、
サイトの規模により数週間程度の変動がございます。
料金
個別見積り
お客様の予算感に合わせて、SCSKセキュリティの脆弱性診断員が診断対象の優先順位を提示し
診断対象を絞り込む提案も可能です。まずはお気軽にお問い合わせください。
