サービス

脆弱性診断サービス

Webアプリケーション診断

脆弱性診断は、お客様のシステム(Webアプリケーション、OS、ミドルウェア等)に対し、セキュリティ上の問題点を攻撃者の視点で診断し、潜在的な「脆弱性」を検出します。システムに存在する脆弱性を検出することで、お客様に対策の実施を促し、セキュリティ事故の発生防止をお手伝いします。

Webアプリケーション診断では、Webアプリケーションを対象に脆弱性診断を実施します。



サービス内容

診断サーバーを介して、インターネット経由で脆弱性診断を実施します。
また、お客様のご要望に応じて、オンサイトでの診断を実施することもできます。 (別途費用)

Webアプリケーション診断サービス

サービス特長

自社開発の診断ツール
  • 自社で診断ツールを開発
  • 「新たな攻撃・検出方法」や「診断員のフィードバック」を元に機能を強化
手動診断
  • 権限周りを含む認証/承認系の脆弱性など、ツール診断による検出が難しい脆弱性を検出
事前調査
  • 診断対象となり得るリクエストを確認しお客様に提示
  • 対象選定の負担減をサポート
無償の再診断
  • お客様側での改修実施後に、危険度「Medium」以上の脆弱性を対象に無償(1案件1回限り)で再診断を実施

主な診断項目

自社開発の「ツール診断」と「手動診断」の2つの手法を組み合わせた効果の高い診断を実施します。

脆弱性区分主な脆弱性診断手法
認証パスワードポリシー
不適切な認証
脆弱なパスワードリマインダ
ツール診断+手動診断
ツール診断+手動診断
ツール診断+手動診断
承認セッションの推測 
不適切な承認 
セッションの固定 
CSRF(Cross Site Request Forgeries)
ツール診断+手動診断
ツール診断+手動診断
ツール診断+手動診断
ツール診断+手動診断
クライアント側での攻撃クロスサイトスクリプティング 
コンテンツの詐称
ツール診断
ツール診断
コマンドの実行バッファオーバーフロー 
書式文字列攻撃 
LDAPインジェクション 
OSコマンドインジェクション 
SQLインジェクション 
SSIインジェクション 
XPathインジェクション
ツール診断
ツール診断

ツール診断
ツール診断
ツール診断
ツール診断
ツール診断
情報公開ディレクトリインデクシング 
ソース記載による情報漏えい 
推測可能なリソース位置
ツール診断
ツール診断
ツール診断
ロジックを狙った攻撃機能の悪用 
パス・トラバーサル 
リダイレクタ 
不適切なプロセスの検証
ツール診断+手動診断
ツール診断
ツール診断
ツール診断+手動診断

※手動診断は、ツール診断では検出することが困難な脆弱性を検出するために実施する手法です。また、手動診断とはべつにツール診断で検出された結果においても手動にて再度確認を行います。

診断方法

フェーズ1
  • ツール診断を実施
  • ツールを実施していく中で、サイトの特性や各ページでやり取りされているパラメータの意味を理解し、手動診断が必要かどうか判断
フェーズ2
  • ツールで検出した結果を手動にて再度確認
  • ※誤報が含まれていないかなどを確認
フェーズ3
  • フェーズ1で抽出した手動診断が必要と思われる箇所に手動での診断を実施

ご利用の流れ

1. 事前調査

  1. お客様情報シートご提出
  2. スケジュール調整
  3. 事前調査
  4. 画面遷移図確認
  5. 対象確定
  6. お見積書提出

2. 診断

  1. 診断開始
    – ツール診断
    – 手動診断
  2. 診断終了

3. 報告

  1. 診断速報提出
    ※緊急度の高い脆弱性検出の場合
  2. 診断報告書提出
診断報告会
(オプション)

4. サポート

  1. 再診断
  2. 再診断報告書提出
QAサポート
(報告書提出後1ヶ月間)

サービス料金

事前調査や再診断を含めてリーズナブルで明快な料金体系を実現しました。

エキスパート診断 エクスプレス診断
基本料金

128万円
・50リクエストまたは25APIまで
(報告書作成を含む)

40万円
・10リクエストまたは6APIまで
(報告書作成を含む)

追加料金

30万円
・10リクエストまたは6API

30万円
・10リクエストまたは6API

報告会料金

15万円/回

10万円/回

再診断

無償サービス

無償サービス

QAサポート

無償サービス(報告書提出後1ヶ月間)

無償サービス(報告書提出後1ヶ月間)

診断期間(目安)

50リクエストで10営業日〜

10リクエストで4営業日〜

速報提出

診断最終日の翌営業日(危険度「High」の脆弱性が見つかった場合)

診断最終日の翌営業日(危険度「High」の脆弱性が見つかった場合)

報告書提出

診断最終日の5営業日後

診断最終日の5営業日後

セットプラン

Webアプリケーション診断プラットフォーム診断を合わせてご利用いただく場合のお得なプランです。

エキスパート診断
+プラットフォーム診断
エクスプレス診断
+プラットフォーム診断
基本料金

143万円
・50リクエストまたは25APIまで
・3 IPまたは3FQDN
(報告書作成を含む)

55万円
・10リクエストまたは6APIまで
・3 IPまたは3FQDN
(報告書作成を含む)

追加料金

Webアプリケーション診断
30万円/10リクエストまたは6API

プラットフォーム診断
5万/1 IPまたは1FQDN

Webアプリケーション診断
30万円/10リクエストまたは6API

プラットフォーム診断
5万/1 IPまたは1FQDN

報告会料金

15万円/回

10万円/回

再診断

無償サービス

無償サービス

  • 表示価格はすべて税抜き価格です。
  • 上記は弊社からリモートで診断を行う場合の料金です。オンサイトでの診断およびオンサイトでの再診断につきましては別途ご相談ください。
  • Webアプリケーション診断では、HTTP/HTTPSのリクエスト数をカウントいたします。
  • Webアプリケーション診断では、起点となるURLが複数ある場合、起点URLごとの御見積となります。
  • Webアプリケーション診断では、サイトやログイン機能が複数ある場合は、別途費用が発生する場合がございます。
  • Webアプリケーション診断の再診断では、危険度「Medium」「High」の脆弱性を対象に、1案件につき1回を無償でご提供いたします。ただし、オンサイト診断の場合は別途お見積となります。
  • API診断の場合は、内容に応じて上記基本料金から価格が変動する可能性がございます。別途ご相談ください。
  • プラットフォーム診断では、診断対象にWebサーバがある場合、1IPアドレスについて1ホストでカウントします。バーチャルホストが複数ある場合は2バーチャルホスト毎に1IPアドレスとしてカウントします。
  • プラットフォーム診断の再診断では、危険度「Medium」「High」「Critical」の脆弱性を対象に、1案件につき1回を無償でご提供いたします。ただし、オンサイト診断の場合は別途お見積となります。また、原則として診断時と同じIPアドレス / ホスト名に対して再診断を実施します。
  • プラットフォーム診断の再診断におけるIPアドレス/ホスト名/FQDNが診断時から変更となる場合は、通常の診断費用が発生します。
  • プラットフォーム診断では、VPN接続での診断、クライアント証明書を導入しての診断等、特殊な条件下での診断は別途費用が発生します。

診断報告書

診断報告書は、診断結果の総合評価、診断結果・検出された脆弱性の種類、発見箇所および対策指針などを記載します。診断時点でのお客様のWebアプリケーションのセキュリティ上の問題点を正しく認識し対策を施すことにご活用いただける内容です。

速報

診断実施中に危険度「High」の脆弱性が見つかった場合は診断最終日の翌営業日に速報を提出します。

報告書

診断最終日の5営業日後に発見した全ての脆弱性を網羅した報告書を提出します。

※脆弱性が多数検出された場合には、提出まで5営業日以上かかる可能性や報告の一部を省略する場合があります。

Webアプリケーション診断報告書イメージ
※報告書の一例(部分)です。診断プランや診断対象等により、報告書の形式や構成は異なります。