【サービス紹介】セキュリティ診断サービス
Webアプリケーションセキュリティ診断
サービス内容
Webアプリケーションをスピーディに診断します。
発見した脆弱性の内容と脅威を報告し、対策方法をご提案致します。
Webアプリケーションの規模にもよりますが、診断に必要な期間は、最短で約1週間となります。
また、診断中に緊急で対応しなければならない脆弱性※1が発見された場合には、速報によりすみやかにご報告致します。
さらに診断終了後は報告書を提出するだけでなく、ご要望に応じてお客様先にてオンサイトによる報告会を開催し、詳細な報告とQ&Aなど万全のサポートを提案致します。
ご提供するサービスは「IPA基準:22項目診断」と「経済産業省基準:31項目診断」がございます。
詳細は下記の各サービス内容を参考の上お選びください。
※1 SQLインジェクションなどの深刻な脆弱性
Webアプリケーションセキュリティ診断
ツールおよび手作業による疑似攻撃診断を行い対策方法をご報告させて頂く標準のサービスです。診断中に深刻な脆弱性が発見された場合、対策を含めて即ご報告致します。
- ・IPA基準(※):22項目診断
- ・経済産業省基準:31項目診断
※ IPA(独立行政法人情報処理推進機構)が発行する「安全なウェブサイトの作り方」(http://www.ipa.go.jp/security/vuln/websecurity.html)に記載されている脆弱性について調査致します。ただし、外部からの診断では判別できない問題、ウェブサイトの内部的な運用に関わる問題につきましては対象外としております。
導入の流れ
仕様・価格
| サービス | Standard | |||
|---|---|---|---|---|
| IPA基準 (22項目診断) |
経済産業省基準 (31項目診断) |
|||
| マニュアル脆弱性診断 | 22項目 | 31項目 | ||
| 報告 | レポート | ○ | ○ | |
| 速報 | ○ | ○ | ||
| 対策方法 | ○ | ○ | ||
| 出張報告会 | ○ | ○ | ||
| 価格 | 29万円~ | 35万円~ | ||
| 納品 | 診断開始から1~2週間(サイト規模により変動) | |||
【マニュアル脆弱性診断】 … ツールおよび手動による疑似攻撃診断によって脆弱性を見つける診断。
【レポート】 … 問題点をレポートで提出。
【速報】 … 診断中に深刻な問題が発見された場合、対策を含めて即ご報告
【対策方法】 … 診断及び段階的な対策をご提案ご報告
【出張報告会】 … オンサイトにてご報告会を実施
【疑似攻撃診断項目】
認証 Authentication
認証を使用しているウェブサイトで適切に認証が実施されているか診断を行います。
| 診断内容 | 脆弱性が存在することによって被る被害 | 22項目 | 31項目 |
|---|---|---|---|
| 総当たり攻撃 (Brute Force) |
IDやパスワードが簡単に推測可能であり、管理者や他のユーザに成りすまされてしまいます。 | ○ | ○ |
| 不適切な認証 (Insufficient Authentication) |
正常なログイン処理を介さずにログイン後の画面にアクセスされてしまうため、成りすましや情報漏えいの危険性があります。 | ○ | ○ |
| もろいパスワード復元の検証 (Weak Password Recovery Validation) |
ユーザがパスワードを忘れた際の回復方法に問題があり、パスワードの情報が外部に漏えいしてしまいます。 | ○ | ○ |
承認 Authorization
認証後のセッション管理に問題が無いか診断を行います。
| 診断内容 | 脆弱性が存在することによって被る被害 | 22項目 | 31項目 |
|---|---|---|---|
| セッションの推測 (Session Prediction) |
セッション情報が推測しやすい値の場合、攻撃者は正しい値を推測し、管理者やユーザに成りすますことができます。 | ○ | ○ |
| 不適切な承認 (Insufficient Authorization) |
承認が不適切だと、アクセス権限の高いコンテンツや機能へのアクセスを認めてしまいます。これにより、攻撃者が他のユーザや管理者に成りすます危険性があります。 | ○ | ○ |
| 不適切なセッション期限 (Insufficient Session Expiration) |
セッション期限が不適切である場合、ユーザのセッション情報を盗用しやすくなり、攻撃者が管理者やユーザに成りすますことができます。 | ○ | ○ |
| セッションの固定 (Session Fixation) |
攻撃者が任意のセッション情報を使って管理者やユーザに成りすますことができます。 | ○ | ○ |
| セッションの盗難 (Session Hijack) |
SSL等を使用して暗号化をしていない場合、攻撃者はセッション情報を容易に取得することができ、管理者やユーザに成りすますことができます。 | ○ | ○ |
クライアント側での攻撃 Client-side Attacks
クライアント側から行われる攻撃に対する診断を行います。
| 診断内容 | 脆弱性が存在することによって被る被害 | 22項目 | 31項目 |
|---|---|---|---|
| コンテンツの詐称 (Content Spoofing) |
偽のコンテンツをあたかも正式なものであるかのように装ってウェブサイトに表示し、ユーザを欺きます。これにより、パスワードを抜き取られたり、フィッシング詐欺サイトへ誘導されたりする危険性があります。 | ○ | ○ |
| クロス・サイト・トレーシング (Cross Site Tracing) |
ウェブのヘッダ情報を不正に読み出されてしまいます。これにより、他の脆弱性を利用して管理者や他のユーザに成りすまされてしまいます。 | ○ | ○ |
| クロス・サイト・スクリプティング (Cross Site Scripting (XSS)) |
サイトをまたがって不正な要求を送り、ユーザが意図していないスクリプトを実行させられてしまいます。その結果、例えば偽ページを表示することが可能になり、フィッシング詐欺などに悪用されてしまいます。 | ○ | ○ |
| クロス・サイト・リクエスト・フォージェリ (Cross Site Request Forgery(CSRF)) |
サイトをまたがって不正な要求を送り、ユーザが意図していない操作を実行させられてしまいます。例えば、ユーザが意図しないままオンラインショップで買い物をさせられたりしてしまいます。 | ○ | ○ |
| クリックジャッキング (ClickJacking) |
ログインしているユーザ向けに提供されている機能のうち、マウス操作のみで実行可能な機能をユーザは意図せず実行させられてしまいます。 | ○ | ○ |
コマンドの実行 Command Execution
コマンド実行により行われる攻撃に対する診断を行います。
| 診断内容 | 脆弱性が存在することによって被る被害 | 22項目 | 31項目 |
|---|---|---|---|
| バッファ・オーバフロー (Buffer Overflow) |
アプリケーションの予期しないデータを送り、アプリケーションを異常終了させられてしまいます。これにより、ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。 | ○ | ○ |
| 書式文字列攻撃 (Format String Attack) |
入力された文字列を書式加工する際にプログラムをクラッシュさせたり、不正なコードを実行させられてしまいます。これにより、ウェブサーバのサービスを停止させられたり、ウェブサーバを乗っ取られる危険性があります。 | ○ | |
| LDAPインジェクション (LDAP Injection) |
LDAPコマンドを不正に使用されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 | ○ | |
| OSのコマンド実行 (OS Commanding) |
サーバ内のOSのコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 | ○ | ○ |
| SQLインジェクション (SQL Injection) |
DBサーバへのアクセスを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 | ○ | ○ |
| SSIインジェクション (SSI Injection) |
SSIコマンドを不正に実行されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 | ○ | |
| XMLインジェクション (XML Injection) |
XMLデータにスクリプト等を混入して攻撃されてしまいます。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性があります。 | ○ | |
| パラメータ改ざん (Parameter Manipulation) |
パラメータを不正に改ざんされてしまいます。その結果、管理者や他のユーザに成りすまされてしまいます。 | ○ | ○ |
| スクリプトの実行 (Script Execution) |
許可していないスクリプトを実行されてしまうため、情報の漏えいやウェブサイトの改ざんを許してしまいます。 | ○ |
情報漏洩 Information Leakage
ウェブサーバから情報が漏えいする可能性が無いか診断を行います。
| 診断内容 | 脆弱性が存在することによって被る被害 | 22項目 | 31項目 |
|---|---|---|---|
| ディレクトリ・ インデックシング (Directory Indexing) |
ウェブサーバ内のファイルを閲覧されることにより、ウェブサーバ攻撃の足がかりとされてしまいます。 | ○ | |
| 情報漏洩 (Information Leakage) |
ウェブサーバから意図していない内部情報が外部に漏えいしてしまいます。 | ○ | ○ |
| パスの切り換え (Path Traversal) |
ウェブブラウザのアドレスバーやファイル名を指定するパラメータなどの箇所から任意のパスを受け付けてしまうため、機密情報などが保管されているパスを指定されることにより情報漏えいにつながります。 | ○ | ○ |
| 推測可能なリソースの位置 (Predictable Resource Location) |
フォルダ名やファイル名が推測可能な簡単な名称になっているなど、内部のリソースの配置が推測可能な場合、重要な情報や機能が外部に漏えいする危険性があります。 | ○ | ○ |
| ウェブサーバ・ アプリケーションの特定 (Fingerprinting) |
ウェブサーバ、ウェブアプリケーションの種類やバージョン情報から脆弱性が探り出され、攻撃の足がかりとされてしまいます。 | ○ | ○ |
ロジックを狙った攻撃 Logical Attacks
ウェブサーバやウェブアプリケーションの持つ機能を狙った攻撃が可能か診断を行います。
| 診断内容 | 脆弱性が存在することによって被る被害 | 22項目 | 31項目 |
|---|---|---|---|
| 機能の悪用 (Abuse of Functionality) |
ウェブサーバ、ウェブアプリケーションの持つ機能を不正に実行されてしまいます。その結果、SPAM(メールを大量配信すること)の中継地点に使われるなど、悪用されてしまいます。 | ○ | ○ |
| サービス拒否 (Denial of Service) |
ウェブサーバのサービスを停止、もしくは低下させられてしまいます。※ | ○ | |
| 自動化の停止が不適切 (Insufficient Anti-automation) |
ロボットなどによるウェブサーバへの連続攻撃を受け、正しいIDやパスワードを探られたり、ウェブサーバに負荷をかけられたりしてしまいます。 | ○ | |
| 不適切なプロセス検証 (Insufficient Process Validation) |
正常な画面遷移を無視して特定の画面にアクセスされてしまうため、成りすましや情報漏えいの危険性があります。 | ○ |
その他
| 診断内容 | 脆弱性が存在することによって被る被害 | 22項目 | 31項目 |
|---|---|---|---|
| その他 | 上記以外の問題が見つかった場合ご報告させていただきます。 | ○ | ○ |
※OS・サーバ等のバージョンの脆弱性に対し診断を実施します。ツールを用いた診断は、別途オプションにて対応致します。