BRcloud

脆弱性診断テスト

御社のWebサイトは安全ですか?

Webサイトの脆弱性や運用管理の不備から、情報漏洩やWebページの改ざんなどの悪質な事件が多発しています。
Webサイトの改ざんや情報漏洩等の被害が発生すると、企業の信用を失うのはもちろん、漏えいした顧客情報の二次災害および補償、Webサイトの停止など御社に莫大な被害を及ぼします。

安全なWebサイトの構築と運用管理をするためには、大きく3項目の安全対策が必要になります。
システムおよびネットワーク管理者は対策がとられていない場合、早急に対策をとることをおすすめします。

脆弱性診断をテストすると
Webアプリケーション・ネットワークに潜む脆弱性の有無を確認できます

  • Webアプリケーションのセキュリティの問題点がわかります。

  • ネットワークセキュリティの問題点がわかります。

  • アプリケーションの改善点が分かり、セキュリティホールの改善対策ができます。

  • ネットワークの改善点が分かり、セキュリティ対策ができます。

  • 今後の運用対策を検討することができます。

Three checkpoints

3つのチェックポイント
3つのチェックポイント 3つのチェックポイント

当社では「アプリケーション脆弱性診断」「外部ネットワーク診断」「内部(ミドルウェア)脆弱性診断」
3つの診断を行っています。

弊社の拠点から専用診断ツールを使用し、御社の開発環境もしくは本番環境へリモート診断を行います。
下記侵入検査はPCIDSS要件のセキュリティガイドラインで定めたテスト項目になります。

インジェクションの不具合 SQLインジェクション、OSコマンドインジェクション、LDAP 、Xpathの不具合を考慮し、コーディング及び検査する。
バッファオーバーフロー バッファオーバーフローの不具合を考慮し、コーディング及び検査する。
安全でない暗号化保存 暗号化の欠陥を防ぐために安全でない暗号化保存の不具合を考慮し、コーディング及び検査する。
安全でない通信 認証された全てのセンシティブ通信を確実にするために安全でない通信の不具合を考慮し、コーディング及び検査する。
不適切なエラー処理 エラーメッセージで重要なシステム情報を開示しないために不適切なエラー処理の不具合を考慮し、コーディング及び検査する。
クロスサイトスクリプティング クロスサイトスクリプティングの不具合を考慮し、コンテクスト依存エスケープコードを使用するなどしてコーディングし、全てのパラメータを検査する。
不適切なアクセス制御 安全でないオブジェクトの直接参照やURLアクセス制限の失敗、ディレクトリトラバーサルなど不適切なアクセス制御の不具合を考慮し、コーディング及び検査する。
クロスサイトリクエストフォージェリ 悪意のあるサーバを参照したブラウザによって自動的に送信される資格情報およびトークンの承認に応答しないようにクロスサイトリクエストフォージェリに考慮し、コーディング及び検査する。
不完全な認証管理とセッション管理 不完全な認証管理とセッション管理について以下を含めコーディング及び検査する。
  • ・セッショントークン(Cookieなど)を「安全」としてフラグ付けする。
  • ・URLにセッションを含めない。
  • ・ログイン後の適切なタイムアウトとセッションIDの巡回。
  • ・ユーザIDとアプリケーションアカウント機能を使って上書きできなくする。

弊社の拠点から専用診断ツールを使用して、御社の本番環境へリモート診断を行います。
下記は外部ネットワーク脆弱性診断による侵入検査項目です。

1. 認証処理を実行するスクリプト
2. リモートホスト・サービスの認証処理に対してブルートフォース(総当たり推測)を実行するスクリプト
3. 調査対象のネットワークに関して追加情報を取得しようとするスクリプト
4. 調査対象のアプリケーションを悪用できる可能性のあるスクリプト
5. 第三者のサーバーにネットワーク経由でデータを送信するスクリプト
6. 未知のバグを検出するため調査対象に不正かつ無作為なデータを送信するスクリプト
7. 調査対象がマルウェアやバックドアに感染しているかテストするスクリプト
8. 安全に実行できる(サーバーを機能停止状態にしない)スクリプト
9. 調査対象上で稼働しているアプリケーションのバージョン情報を識別するスクリプト
10. 調査対象に特定の攻撃に対する脆弱性が存在するかどうかチェックするスクリプト

米国政府の支援を受けた非営利団体のMITRE社が管理している、脆弱性情報データベースを参照し脆弱性の有無を確認します。

CVSSスコア(脆弱性評価指標)が 4.0 以上の脆弱性を検知

  • ・CVEデータベースを参照し脆弱性の有無を確認します。
  • ・CVEはソフトウェアの脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が提供している脆弱性情報データベースです。
  • ・CVSSスコア(脆弱性評価指標)が 4.0 以上の脆弱性を検知
  • ・PCIDSSの要件では脆弱性を特定するプロセスにおいて、CVSSスコア4.0未満を推奨されております。

Service fee

サービス料金
  • アプリケーション脆弱性診断

    基本料金(10画面)/回 ¥300,000-(税別)
    画面追加(1画面)/回 ¥20,000-(税別)
  • 外部ネットワーク診断

    基本料金(5IP)/回 ¥300,000-(税別)
    追加1IP/回 ¥50,000-(税別)
  • 内部(ミドルウェア)脆弱性診断

    基本料金 ¥400,000〜(税別)

診断後2ヶ月以内の再診断費用は10%引きになります。

お問い合わせ

新規導入のご相談、サービスについてのお問い合わせはこちら。