Webアプリケーション診断

TOP / 事業内容 / Webアプリケーション診断
Webアプリの脆弱性を、攻撃者の視点で検証する

Webアプリケーション診断では、当社のセキュリティエンジニアが攻撃者の視点に立ち、お客様のWebアプリケーションに対して疑似攻撃を実施し、データの改ざんや情報漏えいなどの重大なリスクにつながる脆弱性を洗い出します。診断では、SQLインジェクション等の代表的な攻撃手法を用いて、攻撃者が悪用する可能性のあるセキュリティ上の弱点を多角的に検証します。

情報セキュリティサービス基準適合サービスマーク026-0008-20
経済産業省 情報セキュリティサービス基準 適合本サービスは「情報セキュリティサービス基準」適合サービスとして登録されています

経済産業省が定める「情報セキュリティサービス基準」に適合するサービスとして、日本セキュリティ監査協会(JASA)の審査を経て情報セキュリティサービス台帳に登録されています(サービス登録番号 026-0008-20)。第三者による品質の裏付けのもと、安心してご利用いただけます。

01.

Incident Cases

Webアプリケーションに関わる被害・問題事例
01

SQLインジェクションによる大量の機密情報の流出

Webアプリケーションにおける代表的かつ深刻な脆弱性の一つが、SQLインジェクションです。悪用されれば、たった一つの脆弱性からデータベースに保存された個人情報などの大量の機密データが漏えい・改ざん・削除される危険があります。これまでECサイトを含む多くのWebサイトで被害が報告されており、その影響は企業の信用失墜やブランド価値の低下といった重大な損害につながっています。

02

XSSによるユーザ情報の窃取・セッション乗っ取り

クロスサイト・スクリプティング(XSS)は代表的な脆弱性の一つです。ユーザ入力の扱いに不備があると攻撃者が悪意あるコードを挿入でき、利用者のブラウザ上で実行されます。ログイン状態の乗っ取りや入力情報の傍受・改ざんにより、個人情報の漏えいや金銭的な被害を引き起こす恐れがあります。

03

CSRFによる利用者権限を悪用した不正送金・操作の強制実行

CSRF(クロスサイトリクエストフォージェリ)は、利用者がログイン済みの正規サイトに対し、攻撃者が利用者の権限で意図しない操作を実行させる攻撃です。利用者が気づかないうちに不正送金や不正購入、アカウント設定の書き換え、攻撃者による不正な投稿といった被害が発生する恐れがあります。

02.

Reasons

お客様に選ばれる理由
01

脆弱性修正対応の伴走支援

当社のセキュリティエンジニアは、貴社の専属セキュリティチームとして、発見した脆弱性の修正をサポートし、安全なリリースまで徹底的に伴走します。

02

小回りの利く柔軟な対応

お客様のご都合(予算・リリース計画・業務都合等)に応じて診断範囲を柔軟に設計いたします。夜間・休日を含む診断スケジュールについても事前調整の上で対応し、業務影響を最小限に抑えます。

03

高い品質を実現する診断体制

当社の診断はすべて、経験豊富なシニアセキュリティエンジニアが検出結果・再現手順・リスク評価・修正方針を直接レビューします。これにより、診断の網羅性と品質を高水準で確保します。

03.

Items

診断項目

Webアプリケーション診断の主な診断項目は以下の通りです。IPA「ウェブ健康診断」やOWASP Top10などを踏まえて、弊社独自の診断項目を設定しています。

認証
認証回避ログアウト機能不備アカウントロック機能不備脆弱なパスワードポリシーパスワードリセット機能の不備パスワードフィールドのマスク不備パスワード変更機能の不備
セッション
ディレクトリリスティングクロスサイトリクエストフォージェリログイン前セッションCookieのSecure属性未設定CookieのHttpOnly属性未設定セッションIDの不備セッションフィクセーション認証回避
設計
エラーメッセージによる情報露出キャッシュからの情報漏洩アプリケーションロジックの不備ファイルアップロード機能の不備メール送信機能の不備SSRF(サーバサイドリクエストフォージェリ)オープンリダイレクトディレクトリトラバーサル安全でないデシリアライゼーション非暗号化通信による重要情報の漏洩HTTPレスポンスヘッダの不備クエリパラメータによる情報漏洩
インジェクション
SQLインジェクションOSコマンドインジェクションリモートファイルインクルードメールヘッダインジェクションクロスサイトスクリプティングHTTPヘッダインジェクションリモートコードインジェクションXXEインジェクション
04.

Process

導入の流れ

お問い合わせ

無料相談を承っております。診断対象や範囲などをお伺いします。まずはお気軽にご相談ください。

見積もり・契約

ご相談内容を踏まえてお見積りを提示します。内容をご確認いただいた上で、ご契約いただきます。

診断

セキュリティエンジニアが診断を実行します。

報告

発見された問題の内容やリスク、推奨対策等を記述した報告書を提出します。オプションで報告会も可能です。

05.

FAQ

よくある質問

Q問題個所を改善した後に再診断はやってもらえますか?

はい、再診断を行うことができます。

QAPIに対する診断はできますか?

はい、可能です。OWASP Top 10 API Security Risks 2023のリスクを中心に診断いたします。

QOWASP ASVS(Application Security Verification Standard)に準拠したテストはできますか?

はい、OWASP ASVS Level 1に準拠したテストを実施することができます。

06.

Contact

お問い合わせ

セキュリティ診断、コンサルティングなど、どんな小さなご相談でも構いません。無料相談を承っています。

お問い合わせはこちら