脆弱性診断は、お客様のシステム(Webアプリケーション、OS、ミドルウェア等)に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な「脆弱性」を検出します。システムに存在する脆弱性を検出することで、お客様に対策の実施を促し、セキュリティ事故の発生防止をお手伝いします。
Webアプリケーション診断では、Webアプリケーションを対象に脆弱性診断を実施します。
サービス内容
診断サーバーを介して、インターネット経由で脆弱性診断を実施します。
また、お客様のご要望に応じて、オンサイトでの診断を実施することもできます。 (別途費用)
サービス特長
- 自社で診断ツールを開発
- 「新たな攻撃・検出方法」や「診断員のフィードバック」を元に機能を強化
- 権限周りを含む認証/承認系の脆弱性など、ツール診断による検出が難しい脆弱性を検出
- 診断対象となり得るリクエストを確認しお客様に提示
- 対象選定の負担減をサポート
- お客様側での改修実施後に、危険度「Medium」以上の脆弱性を対象に無償(1案件1回限り)で再診断を実施
主な診断項目
自社開発の「ツール診断」と「手動診断」の2つの手法を組み合わせた効果の高い診断を実施します。
| 脆弱性区分 | 主な脆弱性 | 診断手法 |
| 認証 | パスワードポリシー 不適切な認証 脆弱なパスワードリマインダ | ツール診断+手動診断 ツール診断+手動診断 ツール診断+手動診断 |
| 承認 | セッションの推測 不適切な承認 セッションの固定 CSRF(Cross Site Request Forgery) | ツール診断+手動診断 ツール診断+手動診断 ツール診断+手動診断 ツール診断+手動診断 |
| クライアント側での攻撃 | クロスサイトスクリプティング コンテンツの詐称 | ツール診断 ツール診断 |
| コマンドの実行 | バッファオーバーフロー 書式文字列攻撃 LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSIインジェクション XPathインジェクション SSTI(Server Side Template Injection) RFI(Remote File Inclusion) | ツール診断 ツール診断 ツール診断 ツール診断 ツール診断 ツール診断 ツール診断 ツール診断 ツール診断 |
| 情報公開 | ディレクトリインデクシング ソース記載による情報漏えい 推測可能なリソース位置 | ツール診断 ツール診断 ツール診断 |
| ロジックを狙った攻撃 | 機能の悪用 パス・トラバーサル リダイレクタ 不適切なプロセスの検証 XML外部実体参照(XXE) SSRF(Server Side Request Forgery) | ツール診断+手動診断 ツール診断 ツール診断 ツール診断+手動診断 ツール診断 ツール診断 |
※手動診断は、ツール診断では検出することが困難な脆弱性を検出するために実施する手法です。また、手動診断とはべつにツール診断で検出された結果においても手動にて再度確認を行います。
診断方法
- フェーズ1
-
- ツール診断を実施
- ツールを実施していく中で、サイトの特性や各ページでやり取りされているパラメータの意味を理解し、手動診断が必要かどうか判断
- フェーズ2
-
- ツールで検出した結果を手動にて再度確認
- ※誤報が含まれていないかなどを確認
- フェーズ3
-
- フェーズ1で抽出した手動診断が必要と思われる箇所に手動での診断を実施
ご利用の流れ
1. 事前調査
- お客様情報シートご提出
- スケジュール調整
- 事前調査
- 画面遷移図確認
- 対象確定
- お見積書提出
2. 診断
- 診断開始
– ツール診断
– 手動診断 - 診断終了
3. 報告
- 診断速報提出
※緊急度の高い脆弱性検出の場合 - 診断報告書提出
(オプション)
4. サポート
- 再診断
- 再診断報告書提出
サービス料金
事前調査や再診断を含めてリーズナブルで明快な料金体系を実現しました。
| エキスパート診断 | エクスプレス診断 | |
|---|---|---|
| 基本料金 |
128万円 |
40万円 |
| 追加料金 |
30万円 |
30万円 |
| 報告会料金 |
15万円/回 |
10万円/回 |
| 再診断 |
無償サービス |
無償サービス |
| QAサポート |
無償サービス |
無償サービス |
| 診断期間(目安) |
50リクエストで10営業日〜 |
10リクエストで4営業日〜 |
| 速報提出 |
診断最終日の翌営業日(危険度「High」の脆弱性が見つかった場合) |
診断最終日の翌営業日(危険度「High」の脆弱性が見つかった場合) |
| 報告書提出 |
診断最終日の5営業日後 |
診断最終日の5営業日後 |
セットプラン
Webアプリケーション診断とプラットフォーム診断を合わせてご利用いただく場合のお得なプランです。
| エキスパート診断 +プラットフォーム診断 |
エクスプレス診断 +プラットフォーム診断 |
|
|---|---|---|
| 基本料金 |
143万円 |
55万円 |
| 追加料金 |
Webアプリケーション診断 プラットフォーム診断 |
Webアプリケーション診断 プラットフォーム診断 |
| 再診断 |
無償サービス |
無償サービス |
- 表示価格はすべて税抜き価格です。
- 上記は弊社からリモートで診断を行う場合の料金です。オンサイトでの診断およびオンサイトでの再診断につきましては別途ご相談ください。
- Webアプリケーション診断では、HTTP/HTTPSのリクエスト数をカウントいたします。
- Webアプリケーション診断では、起点となるURLが複数ある場合、起点URLごとの御見積となります。
- Webアプリケーション診断では、サイトやログイン機能が複数ある場合は、別途費用が発生する場合がございます。
- Webアプリケーション診断の再診断では、危険度「Medium」「High」の脆弱性を対象に、1案件につき1回を無償でご提供いたします。ただし、オンサイト診断の場合は別途お見積となります。
- API診断の場合は、内容に応じて上記基本料金から価格が変動する可能性がございます。別途ご相談ください。
- プラットフォーム診断では、診断対象にWebサーバがある場合、1IPアドレスについて1ホストでカウントします。バーチャルホストが複数ある場合は2バーチャルホスト毎に1IPアドレスとしてカウントします。
- プラットフォーム診断の再診断では、危険度「Medium」「High」「Critical」の脆弱性を対象に、1案件につき1回を無償でご提供いたします。ただし、オンサイト診断の場合は別途お見積となります。また、原則として診断時と同じIPアドレス / ホスト名に対して再診断を実施します。
- プラットフォーム診断の再診断におけるIPアドレス/ホスト名/FQDNが診断時から変更となる場合は、通常の診断費用が発生します。
- プラットフォーム診断では、VPN接続での診断、クライアント証明書を導入しての診断等、特殊な条件下での診断は別途費用が発生します。
診断報告書
診断報告書は、診断結果の総合評価、診断結果・検出された脆弱性の種類、発見箇所および対策指針などを記載します。診断時点でのお客様のWebアプリケーションのセキュリティ上の問題点を正しく認識し対策を施すことにご活用いただける内容です。
- 速報
-
診断実施中に危険度「High」の脆弱性が見つかった場合は診断最終日の翌営業日に速報を提出します。
- 報告書
-
診断最終日の5営業日後に発見した全ての脆弱性を網羅した報告書を提出します。
※脆弱性が多数検出された場合には、提出まで5営業日以上かかる可能性や報告の一部を省略する場合があります。
