WEBアプリケーション脆弱性診断サービス

WEBサイトの脆弱性を可視化し、早めの対応を

企業の顔であるWEBサイトは、日々さまざまな脅威にさらされています。そのWEBサイトに脆弱性があると、攻撃者にその脆弱性を突かれ、個人情報の漏えいや、データの改ざん、サービスの妨害など、クリティカルなインシデントへと発展する恐れがあります。脆弱性を可視化し前もって対策をとっておくことで、重大なインシデントが発生する確率を下げることができます。

特長

脆弱性診断サービスでは、業界標準の脆弱性項目にNHNテコラスのノウハウを組み込んで作成したチェックリストに沿って診断を実施いたします。診断結果については、レポートの提出だけで終わることなく、発見された個々の脆弱性から想定される「攻撃手法」や「被害規模・範囲」についても提示し、それらの脆弱性を除去するための対策について、専門のセキュリティコンサルタントがアドバイスいたします。

  • 業界標準の脆弱性項目に
    準拠
    診断の項目は、OWASP TOP 10、SANS TOP 25などの業界標準に準拠しています。
  • NHN テコラスが保有する
    豊富な経験とナレッジ
    NHNテコラスでは、過去10年間で延べ2,000サイトの診断実績を保有しています。業界標準の脆弱性項目に、当社が長年にわたって蓄積してきたノウハウ、経験を加え診断します。
  • 最新の脆弱性に対応
    NHNテコラスのCSIRT(Computer Security Incident Response Team)組織と連携し、最新の脆弱性に関する情報を随時アップデート。ゼロデイアタックを防止します。
  • 自動点検と手動点検による
    ダブルチェック
    自動スキャンツールによる検証と手動による検証を組み合わせてチェックすることで、脆弱性の漏れを最小化し、信頼性の高い診断結果を提供します。
  • 診断結果のフィードバック
    および対策のご提案
    診断結果報告書においては、単なる結果のフィードバックにとどまらず、発見された脆弱性の緊急度を明示します。またそれらの脆弱性の除去方法などの具体的な対策についても、あわせてご提案いたします。
  • 専門コンサルタントによる
    Advancedプランをご提供
    専門的かつ包括的な診断サービスをご希望のお客様向けに、専門コンサルタントによるAdvancedプランを用意。専門コンサルタントがWEBアプリケーションサービスを総合的に分析し、幅広いスコープにもとづいた多様な診断方法をご提案します。
  • 定期診断を対象とした
    お得なチケットを販売
    診断実施後、同一ドメインの再診断をご希望のお客さま向けに、お得な定期診断チケット(1年間有効)を販売いたします。※3
  • 「OWASP TOP 10」の詳細はこちら
  • 「CWE/SANS TOP 25」の詳細はこちら
  • チケットの価格はLiteプランが4万円~、Standardプランが12万円~となります。

サービスイメージ

TECHORUS SECURITYのWEBアプリケーション脆弱性診断サービスでは、このような脆弱性を放置することによって発生しうるインシデントを未然に防ぐために、まずはWEBアプリケーションにどのような脆弱性が存在するのかを幅広く検査します。検査は経験豊富なセキュリティコンサルタントによって実施され、発見された脆弱性に対して、どのように対応すればリスクを最小化できるのか、具体的な対応策まで提示いたします。

サービスイメージ

診断の流れ

診断を実施する前に、お客さまの環境や情報セキュリティの状況についてのヒアリングを実施します。また結果報告の方法、再診断に関する取り決めなど、全体の要件定義を行います。

決められた要件にしたがい、当社の診断項目に関して診断を実施します。

結果および対策を記載した報告書を作成します。緊急度の高い脆弱性が発見された場合は、別途簡易的な速報ベースでの報告書によってお客様にご連絡いたします。

オンサイト報告会を開催します。

報告書の対策案にもとづき、お客さま側で脆弱性を軽減するための対策を実行します。当社も可能な範囲にてサポートを実施いたします。

対策後、再度診断を実施します。

サービスメニュー

メインメニュー

診断対象
お客さまの環境や情報セキュリティの状況についてのヒアリングを実施します。
PC、携帯、スマートフォンの各サイトが診断可能です。
診断項目
決められた要件にしたがい、当社の診断項目に関して診断を実施します。
  内容 攻撃例
入力パラメータの
整合性検証
WEBアプリケーションが受け取る入力値の整合性をチェックします。 SQLインジェクション
コマンドインジェクション
クロスサイトスクリプティング
CSRFなど
アクセス制御の検証 アクセス制御が適切に行われているかをチェックします。 アクセス制御の迂回
クッキーの改ざん
管理者ページへの不正アクセスなど
機密性に関する検証 暗号化による重要情報の保護など、機密性に関する検証を行います。 ネットワークスニッフィング
認証情報の不正取得など
サーバ設定の検証 サーバ側の不適切な設定による脆弱性の有無を検証します。 ディレクトリリスティング
バックアップファイルへのアクセスなど
既知の脆弱性への対応 既知の脆弱性や新しい脆弱性に対応しているかどうかを検証します。 ゼロデイアタックなど
診断項目
報告書
結果および対策を記載した報告書を作成します。緊急度の高い脆弱性が発見された場合は、別途簡易的な速報ベースでの報告書によってお客さまにご連絡いたします。

オプション

報告会
オンサイト報告会を実施します。
再診断
(チケット制)
対策後、再度診断を実施します。

料金

  Lite Standard Advanced※3
料金※1
(1ドメインあたり)
200,000円~ 700,000円~ 別途お見積り
診断方法 自動メイン 手動メイン 手動メイン
診断対象 WEBアプリケーション WEBアプリケーション WEBアプリケーション、
OS、ミドルウェア、
TCP/IP各種サービスなど
所要期間※1
(環境分析~報告書提出)
3営業日~ 7営業日~ 別途ご相談
報告書作成
結果速報
オンサイト対応
報告会 オプション
再診断 ※2
お問い合わせ対応 1ヶ月以内 1ヶ月以内 1ヶ月以内
  • ページ数などの条件によって変動します。
  • Standardプランの再診断は、診断実施後3ヶ月以内に限り無料でご提供いたします。2回目以降はオプションとなります。(チケットのご利用も可能です)
  • Advancedプランの価格およびご提供内容については、事前にお客さまと協議の上、決定いたします。