脆弱性診断サービス【Webアプリケーション診断】では、お客様のWebサイトに潜むセキュリティ上の脆弱性を攻撃者の立場で診断し検出します。Webアプリケーションのセキュリティ問題に精通したSSTの技術者がWebサイトの問題点を隅々まで診断し、情報漏えい等重大事件の発生防止をお手伝いします。
- 概要・特長
- サービス内容
- サービスフロー
- 報告書イメージ
- 料 金
- FAQ
サービスイメージ
特長
高い脆弱性検出率- 熟練した技術者の診断ノウハウを可能な限り手順化し、また弊社独自のツールを利用することにより、リーズナブルでありながらも高い脆弱性検出率を誇るサービスをご提供いたします。
無償での再診断- 診断終了後、脆弱性の改修は、お客様に大きな負担となります。SSTでは、改修時のお問い合わせ対応や再診断も無償で実施し、対策完了までをフルサポートします。
診断に伴うお客様の
負荷を軽減- 診断対象サイトの事前調査を行い、詳細な画面遷移図を作成します。
その結果をもとに、お客様の環境、ご予算に合わせた診断範囲、診断方法をご提案いたします。
サービス内容
用途やWebサイトの規模に応じて最適なサービスをご利用いただけます。
エキスパート診断とエクスプレス診断においては、診断項目および診断品質は同じ内容になります。
- エキスパート診断
- 新規開発したWebサイトや診断を未実施のWebサイトを網羅的に診断するのに適しています。
- エクスプレス診断
- 規模の小さいWebサイトや改修を重ねたWebサイト等のセキュリティレベルの確認や、多数のWebサイトを運用している場合の監査に適しています。
| サービス名 | エキスパート診断 | エクスプレス診断 |
|---|---|---|
| 診断項目 | 共通 ※「主な診断項目」に記載 | |
| 診断対象範囲 | 50リクエストからの診断 全体を網羅的に診断 |
10リクエストからの診断 豊富な診断実績に基づき、お客様のWebサイト全体より優先して診断すべきリクエストを選択 |
| 診断スケジュール | 診断期間は7営業日〜(50リクエスト) 報告書提出は、診断最終日の5営業日後 |
診断期間は3営業日〜(10リクエスト) 報告書提出は、診断最終日の5営業日後 |
| 再診断 | 対象は危険度がMedium以上の脆弱性 | 対象は危険度がMedium以上の脆弱性 |
| 利用用途 | 網羅的に診断する際に利用 | セキュリティレベルの確認に利用 追加開発時に利用 |
主な診断項目
| 区分 | 主な診断項目 |
|---|---|
| 認証 | パスワードポリシー |
| 不適切な認証 | |
| 脆弱なパスワードリマインダ | |
| 承認 | セッションの推測 |
| 不適切な承認 | |
| セッションの固定 | |
| CSRF(Cross Site Request Forgeries) | |
| クライアント側での攻撃 | クロスサイトスクリプティング |
| コンテンツの詐称 | |
| コマンドの実行 | バッファオーバーフロー |
| 書式文字列攻撃 | |
| LDAPインジェクション | |
| OSコマンドインジェクション | |
| SQLインジェクション | |
| SSIインジェクション | |
| XPathインジェクション | |
| 情報公開 | ディレクトリインデクシング |
| ソース記載による情報漏えい | |
| 推測可能なリソース位置 | |
| ロジックを狙った攻撃 | 機能の悪用 |
| パス・トラバーサル | |
| リダイレクタ | |
| 不適切なプロセスの検証 |
ご契約から診断終了まで
診断結果報告イメージ
診断報告書は、診断結果の総合評価、診断結果・検出された脆弱性の種類、発見箇所および対策指針などを記載します。診断時点でのお客様のWebアプリケーションのセキュリティ上の問題点を正しく認識し対策を施すことにご活用いただける内容です。
※報告書の一例(部分)です。診断プランや診断対象等により、報告書の形式や構成は異なります。
基本料金
事前調査や再診断を含みながら、リーズナブルで明快な料金体系を実現しました。
| エキスパート診断 | エクスプレス診断 | |
|---|---|---|
| 基本料金 | 128万円 (50リクエストまたは25APIまで) |
40万円 (10リクエストまたは6APIまで) |
| 追加診断料金 | 30万円/10リクエスト(または6API) | 30万円/10リクエスト(または6API) |
| 報告会料金 | 15万円/回 | 10万円/回 |
| 再診断 | 無償サービス | 無償サービス |
セットプラン
【Webアプリケーション診断】(エキスパート診断・エクスプレス診断)と【プラットフォーム診断】を合わせてご利用いただく場合に、お得なプランです。
| エキスパート診断+プラットフォーム診断 | エクスプレス診断+プラットフォーム診断 | |
|---|---|---|
| 基本料金 | 143万円 | 55万円 |
| 診断対象範囲 | Webアプリケーション ・50リクエスト(または25API)プラットフォーム ・3IP |
Webアプリケーション ・10リクエスト(または6API)プラットフォーム ・3IP |
| 追加診断料金 | Webアプリケーション ・30万円/10リクエスト(または6API)プラットフォーム ・5万円/1IP |
Webアプリケーション ・30万円/10リクエスト(または6API)プラットフォーム ・5万円/1IP |
| 報告会料金 | Webアプリケーション ・15万円/回プラットフォーム ・15万円/回 |
Webアプリケーション ・10万円/回プラットフォーム ・15万円/回 |
| 再診断 | 無償サービス | 無償サービス |
- ※基本料金・セットプランともに、価格は税抜き表示になります。別途消費税が加算されますのでご了承ください。
- ※上記料金は弊社からリモートで診断を行う場合となります。オンサイトでの診断につきましては別途ご相談ください。
- ※脆弱性診断サービス【Webアプリケーション診断】では、HTTP/HTTPS リクエスト数でカウントいたします。
- ※脆弱性診断サービス【Webアプリケーション診断】では、サイト数やログイン機能が複数ある場合は、追加料金が必要になる場合がございます。
- ※プラットフォーム診断では、診断対象にWebサーバがある場合、1IPアドレスについて1ホストを想定しています。
バーチャルホストが複数ある場合はお問い合わせください。 - ※再診断は、危険度Medium以上の脆弱性が対象で、1案件につき1回を無償でご提供いたします。
ただし、オンサイト診断の場合は別途お見積となります。 - ※API診断の場合は、内容に応じて上記基本料金から価格が変動する可能性がございます。別途ご相談ください。
脆弱性診断サービス【Webアプリケーション診断】に関するFAQ
脆弱性診断サービス【Webアプリケーション診断】に関するよくある質問です。
その他、ご不明点などがある場合は、お気軽にお問い合わせフォームよりご連絡をください。
- 脆弱性診断サービス【Webアプリケーション診断】について
-
脆弱性診断の対象サイトにアクセスし、各画面を遷移する際のWebサーバ間で送受信されるHTTP(S)リクエスト及びレスポンスの内容を確認いたします。正式なお見積りは事前調査の結果をもとに作成いたします。
※本調査は攻撃リクエストの送信は発生いたしません。また、手動で確認を行うため、サーバへの負荷はございません。
-
対象サイトの状況やご要望に合わせて、調整いたします。
対象サイトが開発中の場合は、アプリの結合テスト完了後に行います。 -
弊社からお客様にお願いする主な準備事項です。なお、お客様の対象サイトの特徴や要望によっては、必要な事項は変わる可能性がございます。
- 診断環境(開発環境/公開前本番環境)のご準備
脆弱性診断期間中は、診断用に開発環境/公開前本番環境をご用意いただきます。本番環境と同等の環境にて診断を実施することで、より正確な診断結果を得ることができます。また、診断によるシステムへの影響や負荷も回避できますので診断環境のご用意を推奨しております。 - 診断用データの投入
対象サイトの特徴にあわせて、診断用にデータの投入をお願いしております。
例1)検索やポイント付与といった機能が診断対象
例2)初回の会員登録やアンケート回答といった一度きりの操作が診断対象
例3)ページネーション等、特定の条件下で表示される機能が診断対象 - 診断時のアクセス元IPアドレスの除外設定
不正アクセス対策機器を導入している場合、不正アクセス対策機器によって診断の検査リクエストが遮断されないよう、診断時のアクセス元IPアドレスの除外設定をお願いしております。 - テストアカウントのご準備
アカウントは1種類の権限について最低2つ以上、ご提供いただきます。また、ユーザー権限の説明資料などをご提供いただく場合がございます。
例1)ログイン機能がある場合
例2)サイト利用者ごとに表示される画面や機能が異なる場合
例3)アカウントロック時に別アカウントで作業を継続する場合
- 診断環境(開発環境/公開前本番環境)のご準備
-
診断対象となるWebサイトの応答速度に応じて負荷が増減します。
目安としては、平均的に秒間10~50リクエストが発生します。トラフィック量は、数100Kbps程度です。
性能試験を目的とした大量リクエストの同時送信はいたしません。リクエストの送信間隔を空けるなどして、負荷の調整も可能ですので必要に応じてご相談ください。
- 費用について
-
対象サイトの各画面を遷移する際(ボタンやリンクをクリックする際)にWebサーバに送信されるHTTP(S)リクエストを「1リクエスト」としてカウントします。また、パラメータが付与されているリクエストを対象としています。
正式なお見積りは、事前調査実施後にリクエスト数に基づき算出します。お客様のご要望やご予算を考慮し、優先して診断すべきリクエストを選定いたします。概数は、動的URL数=診断対象数を目安としてお考えください。
-
報告書提出後から約1ヶ月以内であれば、危険度Medium以上の脆弱性のみを対象に、1案件につき1回を無償でご提供します。下記に該当する場合は、別途お見積りが必要となります。
- 危険度の低いLOW以下の脆弱性も再診断の対象とされる場合
- オンサイト(お客様先サーバルームやデータセンタ等)での再診断を希望される場合
- 報告書提出から長期間をあけての再診断を希望される場合
- 診断対象・診断環境について
-
開発環境/公開前本番環境での診断を推奨しております。
本番環境での診断実施は、運営中のシステムになにかしらの影響を与えてしまうリスクがございます。また、診断に制限がかかる場合もございます。
※本番環境での診断をご希望の場合はご相談ください。
-
HTTPをベースとしたWeb APIは診断対象となります。ただし、APIのカウント方法や料金体系については通常の脆弱性診断とは異なるためお問合せください。
-
弊社では、スマートフォンアプリ(iOS/Android)の脆弱性診断は実施しておりません。ただし、サーバサイドの脆弱性診断は対応可能です。
-
脆弱性診断期間中は、不正アクセス対策機器によって診断の検査リクエストが遮断されないよう、診断時のアクセス元IPアドレスの除外設定をお願いしております。
-
土日祝日を除く、午前10時~午後6時です。特定の時間帯や土日祝日を希望される場合はご相談ください。
なお、診断ツールによるスキャンは、24時間の実施をお願いしております。診断効率化を目的としており、24時間実施による追加費用やお客様の対応等は発生いたしません。
- 自社開発の診断ツールについて
-
お客様からのご要望や診断現場からのフィードバックに対し、柔軟な対応が可能です。
SSTの診断サービス内容に最適化されたツールを開発・使用することで、コストダウンや品質維持を実現しております。 -
およそ2~3ヶ月に一度の頻度で、機能強化やバグ修正を行っています。
- 概要・特長
- サービス内容
- サービスフロー
- 報告書イメージ
- 料 金
- FAQ
関連事例のご紹介
導入モデルのご提案
関連セミナーのご案内
