Web Application Vulnerability Assessment

Webアプリケーション脆弱性診断（セキュリティ診断）

一流のハッカーによる多角的なセキュリティ診断

サービスの概要

サイバーディフェンス研究所のWebアプリケーション診断は、高い技術力をもつセキュリティエンジニアがサイバー犯罪者と同様の思考に基づく攻撃を実施することで、診断対象となるWebアプリケーションやWebサイトに潜む脆弱性を顕在化させます。

システムの特性とビジネスロジックを深く理解し、攻撃者視点での悪用価値を考慮したうえで、様々な攻撃を戦略的に試行することにより、一般的な脆弱性診断サービスやWebアプリケーション脆弱性スキャナでは発見が困難な脆弱性までも徹底的に洗い出し、推奨対策を提示します。

Webアプリケーション脆弱性診断とは

Webアプリケーション脆弱性診断とは、ブラウザ上で動作するソフトウェアやアプリケーション内に存在する脆弱性を洗い出すことで、攻撃者が悪用する可能性のある脆弱性を事前に発見し修正するための重要なセキュリティ対策の一つです。

診断結果に基づいた対策を行うことで、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害を未然に防ぐことが可能です。

脆弱性診断(セキュリティ診断)の解説記事

サービスの特徴

脆弱性を徹底的に見つけ出す

サイバーディフェンスのWebアプリケーション診断は、高度な技術、豊富な経験、非凡な攻撃センスを併せ持つ一流のセキュリティエンジニアが、対象となるWebアプリケーションの仕様を正確に理解し、リクエストに対する応答を考慮しながら、様々な攻撃を多角的に試行します。当研究所は、一般的な自動（ツール）診断や手動（マニュアル）診断とは一線を画する、深く、網羅性の高い診断をお約束します。

深く、多角的な脅威分析

当研究所の脅威分析は脆弱性単体の評価にとどまりません。ビジネスロジックを理解したうえで発見した脆弱性がビジネスに与えるインパクトを評価すること、また複数の脆弱性の組み合わせによって実行可能な攻撃を分析することにより、貴社に生じうる真の脅威と優先して対処すべき課題を明確にします。
Ruby on Rails 脆弱性解説 - CVE-2016-2098
Ruby on Rails 脆弱性解説 - CVE-2016-0752（前編）
Ruby on Rails 脆弱性解説 - CVE-2016-0752（後編）

柔軟なサービス、きめ細やかなフォロー

大規模なサイトや機能が複雑なWebアプリケーションであっても、アプリケーションの仕様を踏まえた費用対効果の高い診断方針のご提案が可能です。また、オンサイト作業、即日中の速報提出、改修箇所の確認など、お客さまのご要望に応じたきめ細やかなサービスを提供いたします。

情報セキュリティサービス基準に適合

サイバーディフェンスのWebアプリケーション脆弱性診断は、経済産業省が定める『情報セキュリティサービス基準』に適合したサービスとして、『情報セキュリティサービス基準適合サービスリスト』に登録されています。

これは特定営利活動法人日本セキュリティ監査協会（JASA）による審査を経て、一定の技術的要件および品質管理要件を満たし、品質の維持向上に努めている情報セキュリティサービスであることを示すものです。

・登録サービス名：脆弱性診断サービス（018-0006-20）
・登録サービス名：ペネトレーションテスト（侵入試験）サービス（018-006-60）

診断項目

診断項目	概要
認証セッション管理	認証セッションの発行、更新、破棄といった一連のサイクルにおける問題の有無を特定する他、強度の妥当性について検査します。
認証Cookie	認証セッションにCookieを利用している場合、Cookieに付与される属性を検査します。
入出力検知	SQLインジェクションやクロスサイトスクリプティング(XSS)、ディレクトリトラバーサル等の攻撃の起点になり得る入出力箇所を検査します。
リクエストの正当性	クロスサイトリクエストフォージェリ(CSRF)など、ログインした利用者又は何らかの処理を実行しうる利用者が、処理を意図せず実行させられてしまう可能性について検査します。
ロジック	課金やポイント処理等の不正利用の可能性について検査します。
アクセス制御	各利用者に与えられた権限以外の操作ができる可能性について検査します。
重要な情報の管理	パスワードやクレジットカード、住所等の個人情報の取り扱い方法の妥当性について検査します。
メール送信機能	メール送信機能が存在するサービスの場合、宛先や本文等を不正に設定されることでスパムメールに利用される可能性や、連続大量送信等の迷惑行為を受ける可能性について検査します。
プラットフォームの設定	Webサーバやアプリケーションプラットフォームの設定不備による問題（ディレクトリリスティング、デフォルトエラーページなど）や暗号化通信（TLS）の適用状態などを検査します。

導入事例

導入事例一覧

サービスの流れ

Step1. 事前調査

診断対象を選定いただきヒアリングシートをご記入いただいた後に、当社の方で診断対象のシステム構成を把握し、入念な事前調査を経てお客様の要望を考慮した診断方法の検討とスケジュールの調整を行います。その後に費用のお見積もりと診断内容をご提案いたします。

Step2. 契約手続き

お見積もりと診断内容をご確認のうえ、問題がなければ診断実施のスケジュールを決定し、ご契約手続きを行います。

Step3. 診断準備

診断を実施するに際し影響を受けるおそれのある全ての関係者様に対して事前に周知を行っていただき、診断実施の社内共有をお願いしています。

Step4. 調査・解析

対象となるWebサイトやWebアプリケーションに対して、攻撃者の視点で擬似的な攻撃を行い、SQLインジェクションやクロスサイトスクリプティングなどによる脅威の有無、ユーザの権限を超えた操作の可否などを検証します。
また、脆弱性を検出した場合、該当箇所のURLと想定される脅威、推奨する対策方法などを記載した速報を提出いたします。これにより危険度の高い脆弱性に対して迅速に対処いただくことが可能です。（速報は原則として診断当日の19:00までに事前に取り決めた方法によって提出するものとし、提出時間に変更がある場合は事前にご連絡いたします。

Step5. 脅威分析

脆弱性が発見された場合、個別の脅威だけでなくそれらの組み合わせによって大きな脅威となりうる可能性も考慮した入念な分析を行います。

Step6. 結果報告

Webアプリケーション診断の結果を報告いたします。結果を総括した総合評価となる「エグゼクティブサマリ」と発見された脆弱性の危険度、脆弱性を利用して成功した攻撃の分析レポート、推奨対策などを細かく記載した「脅威シナリオ」からなる報告書を納品いたします。

Step7. 再診断

検修後1ヶ月以内であれば、検出された問題の修正箇所に対する再診断を無償で実施いたします。（再診断の結果について報告書は作成いたしません。）

よくある質問

脆弱性診断は外部委託していますか？

サイバーディフェンスの診断サービスは、準備段階から報告会に至るまで全て弊社のエンジニアが行なっています。

診断の準備にかけられるリソースがないのですが対応可能でしょうか？

最初にお渡しするヒアリングシートの内容は脆弱性診断の品質に関わってくるため、こちらは極力ご記入をお願いしています。リソースがない、わからない、といった場合は弊社スタッフが丁寧にサポートいたしますのでご安心ください。

サーバーに負荷はかかりますか？

脆弱性診断は対象のアプリケーションやシステムに対して通信やリクエストを送信し、その応答を調査することがあります。診断の規模や使用するツール、サーバーの性能によっては一時的な負荷が発生する可能性があるため、適切な設定を行うことで影響を抑えることができます。

費用

対象アプリケーションの仕様、構成、規模などを伺った上で最適なお見積りをご提案致します。予算に応じた診断範囲をご提案することも可能です。下記お問い合わせよりお気軽にご相談ください。

お気軽にお問い合わせください

製品やサービスに関するご質問、お見積りのご用命、課題解決のご相談はこちらから

お見積もり・お問い合わせ

資料ダウンロード

なお、機密性を重視したご依頼は cdiprivacy(at)protonmail.com 宛てのメールでも承ります。
※ (at) は @ に置き換えてください。

セキュリティ診断メニュー一覧