このページの本文へ

ここから本文

Webサーバ上で動作するアプリケーションに存在する脆弱性を検出します。
OWASP TOP10に準拠した診断を実施しています。

脆弱性診断サービスの概要、導入メリット

セキュリティ診断によりシステムの状態を把握・対策することで、
セキュリティリスクを回避できます。

時系列とセキュリティレベルの関係表。対策をしなければ、時間が経つにつれ、セキュリティレベルは下がっていく。セキュリティ診断と対策を実施することで、セキュリティレベルを向上できる。

日々増え続ける新たな脆弱性や進化する攻撃手法、インターネット公開システムの更改や設定変更の影響により、セキュリティレベルは時間の経過とともに低下し、一定のレベルを下回ると実際に重大なセキュリティ事故に結びつく可能性があります。セキュリティ診断で脆弱性を検出し、適切な対策を実施することで、セキュリティレベルを維持し、セキュリティ事故が発生するリスクを回避することが可能です。

脆弱性診断サービスの特長

(1)Webアプリケーション診断とは

  • Webサーバ上で動作するWebアプリケーションに存在する脆弱性を検出します。
  • 動的画面に脆弱性が存在するため、「入力エリア等の動的画面を保持する動的なWebシステム」、「顧客情報・決済情報を取扱うシステム」が対象になります。
  • 脆弱性が存在すると、外部からの不正アクセスにより次のような被害が発生する可能性があります。
  • 企業イメージダウン・利用者への賠償・サイトの閉鎖
    Webアプリケーション脆弱性は以下のようなものに起因して発生します。
    • 要件定義や設計・製造時の考慮漏れ
      (セキュリティを高める設定の不足など)
    • Webアプリケーションでの実装ミス
      (入力パラメータチェックの不足や整合性チェックの実装漏れなど)
    Webアプリケーション脆弱性の発生範囲

    (2)脆弱性診断サービスの特徴

    • 脆弱性検査ツールでは検査することが難しい、認証機能の脆弱性やなりすましの危険性等の 脆弱性は弊社技術者の手動による検査を実施しています。自動診断ツールを活用することで、診断の網羅性の向上、手動診断と比較して診断工数の削減が見込まれます。
    • OWASP TOP 10に準拠した診断を実施しています。

    OWASP : Open Web Application Security Project
    Webアプリケーションのセキュリティ向上のために、活動する非営利団体

    OWASP TOP 10

    1.インジェクション

    2.認証の不備

    3.機微な情報の露出

    4.XML外部エンティティ参照(XXE)

    5.アクセス制御の不備

    6.不適切なセキュリティ設定

    7.クロスサイトスクリプティング(XSS)

    8.安全でないデシリアライゼーション

    9.既知の脆弱性を持つコンポーネントの使用

    「10.不十分なロギングとモニタリング」についてはWebアプリケーション自体の脆弱性に関するものでないため対象外

    (3)Webアプリケーション診断 イメージ

    セキュリティ診断では自動診断ツールおよびセキュリティ診断技術者の手動により、リクエストで送信されるパラメータの値に診断目的にあった値を設定し、そのレスポンスの挙動から脆弱性の有無を判定します。

    (1)対象画面に対して診断ツールおよびセキュリティ診断技術者が手動による疑似攻撃を施行します。(2)レスポンスの挙動から脆弱性の有無を判定します。診断ツールで検出された脆弱性はセキュリティ診断技術者による目視や再現で誤検出を精査します。
ページトップへ戻る