メールでのお問い合わせ

Webアプリケーション診断

サービス概要

お客様のWebサイトの安全性を、専門的な知識を持った経験豊富な技術者がサイトの特性に応じて詳細に調査いたします。

サービス内容

Webサイトは、単なる情報公開の場として用いられるだけでなく、近年では大規模なWebアプリケーションを利用したショッピングモール、ユーザとのコミュニケーション窓口等として益々その重要性が拡大しています。

Webアプリケーション診断では、専門技術者の視点から、Webアプリケーションの脆弱性の有無を調査し、検出された脆弱性を利用した攻撃に対するシステムの堅牢性を評価することで、セキュリティ対策が適切に実施されているかを報告いたします。また、指摘事項に対する改善策を提案いたします。

サービスの特長

汎用的なOSやサーバソフトウェアが利用されるプラットフォーム(サーバやネットワーク機器)とは異なり、Webアプリケーションは各社のビジネス形態やシステム構成に応じて独自の作り込みが行われています。そのため、プラットフォームの脆弱性は汎用的な脆弱性スキャナーにより網羅的かつ高精度に検出が可能ですが、Webアプリケーションの脆弱性は、汎用的なWebアプリケーション診断ツールではサイトごとの違いに対応できないため正確に検出できません。そこで、当社のWebアプリケーション診断では、商用のWebアプリケーション診断ツールのみに頼ることなく、専門技術者が手作業診断によって脆弱性を調査し、その再現方法や対策提案を報告いたします。

Webアプリケーション診断ツールの仕組み 及び ツール診断の限界

  • 診断ツールはパターンマッチにより脆弱性の有無を検出できる項目には対応しているが、複雑な操作が必要な場合やあらかじめ脆弱性の有無を判定するための応答が特定できない場合は脆弱性の検出ができない。
  • 診断ツールのクローリング機能の精度が低いため、診断対象を正確に把握できず、 診断対象に診断漏れが生じる。
  • 診断ツールは正常に診断が実施できているかどうかを正確に識別できないため、無効な診断の結果を出力することがある。
  • 診断ツールによる脆弱性の評価は機械的な判断にもとづくものであるため、診断対象Webアプリケーションの構成等に応じた適切な評価が行われない。

上記の欠点を補う観点から、「手作業診断」によるサービスをご提供いたします。

  • Webアプリケーション診断において精度の高い診断結果を得るためには、診断対象Webアプリケーションの機能や構成に応じて診断手法を変更する必要があります。専門の診断技術者による手作業診断により、どのようなWebアプリケーションにも柔軟に対応し、精度の高い診断結果をご報告いたします。
  • 専門の診断技術者が、診断対象サイトを手作業で遷移させて診断対象の確認を行うため、診断対象の把握を正確に行うことが可能です。また、診断技術者が診断結果の有効性を常に確認しているため、無効な診断の結果が報告されることはありません。
  • 検出された脆弱性の危険度は診断技術者が診断対象Webアプリケーションの環境や構成に応じて評価するため、現実的なセキュリティリスクを反映した評価となります。

スマートフォンサイト診断

スマートフォンの普及によりスマートフォン向けWebアプリケーションの構築が行われるようになりました。スマートフォン向けWebアプリケーションは開発実績が少ないなどの理由により十分なセキュリティ対策が行われていない場合があります。また、スマートフォン向けWebアプリケーションは攻撃を受けにくいと誤って認識されている場合があります。しかし、スマートフォン向けWebアプリケーションもPCサイトと同様にインターネット経由でアクセス可能であるため、セキュリティ対策が必要です。スマートフォンサイト診断では、通常のWebアプリケーション診断に加えて、スマートフォンアプリが使用するWebAPIに対する診断や端末認証に関わる診断など、スマートフォン向けのWebサイトに特有の診断も実施します。

携帯サイト診断

携帯電話向けサイトでは、携帯電話が持つ認証補助機能を使った認証が行われます。またDNSリバインディングなど、携帯サイトを主なターゲットとした攻撃も報告されています。携帯サイト診断では、携帯電話向けWebアプリケーションのセキュリティ対策が適切かどうか調査いたします。

診断項目

診断項目 典型的な脆弱性 診断内容
ユーザ認証に関する項目 ・脆弱なパスワードの存在
・認証設定の不備
・パスワードリマインダの不備
認証を迂回して不正にサービスを利用したり、他人になりすましてアプリケーションを利用したりすることができないか調査を行います。
コンテンツアクセス承認に関わる項目 ・推測可能なセッションID
・アクセス制御機構の不備
・セッション終了処理の不備
・セッションフィクセイション
アクセス制御機構を回避して、アクセス許可がないコンテンツにアクセスできないか調査を行います。
クライアントを対象とした攻撃に関する項目 ・クロスサイトスクリプティング
・コンテンツ詐称
・HTTPレスポンススプリッティング
アプリケーション利用者のブラウザを攻撃することで、任意のスクリプトの実行やコンテンツの詐称ができないか調査します。
コマンド実行に関する項目 ・バッファオーバーフロー
・LDAPインジェクション
・OSコマンド実行
・SQLインジェクション
・SSIインジェクション
・Xpathインジェクション
アプリケーションに不正な入力を行い、アプリケーションの誤動作を引き起こせるか調査します。
情報取得に関する項目 ・ディレクトリ内容表示
・ディレクトリトラバーサル
・強制ブラウジング
・各種情報漏洩
サーバの設定の不備等を利用して、内部情報漏洩の可能性があるか調査します。
アプリケーションの機能の悪用に関する項目 ・機能の悪用
・サービス妨害
・自動アクセス防止の不備
・迷惑メールの送信
・クロスサイトリクエストフォージェリ
アプリケーションの構造上や機能上の弱点をついて、各種攻撃が可能か調査します。

サービスフロー

サービスフロー

提供価格

インターネット経由による診断の場合 30,000円/遷移 (20遷移まで) 24,000円/遷移 (21遷移以上)
※上記価格は税別となります。

提供価格例

(1) 企業ホームページ

  • 主な機能:お問い合わせ、資料請求
  • 対象遷移数:6遷移
  • 診断方法:当社からのインターネット経由診断
  • 費用:(30,000円×6遷移)=180,000円(税別)


(2) ショッピングサイト

  • 主な機能:ログイン、アドレス帳、ショッピングカート、決済等
  • 対象遷移数:45遷移
  • 診断方法:当社からのインターネット経由診断
  • 費用:(30,000円×20遷移)+(24,000円×25遷移)=1,200,000円(税別)