Webアプリケーション脆弱性診断サービス

サービス 概要

Webサイトからの情報漏えい対策など、
Webセキュリティに関する総合的なソリューションを提供

近年、情報セキュリティの維持は企業の存続を左右しかねない重要な問題となっています。中でも、インターネット・Webサイトからの情報漏えいは依然として多発しており、その要因の多くが、Webアプリケーションの設計・開発の不備に起因すると指摘されています。
KCCSのWebアプリケーション脆弱性診断サービスでは、脆弱性診断、リスク診断、脆弱性対策、開発プロセス改善策立案などを含む、Webセキュリティに関する総合的なソリューションを提供。セキュアなWebアプリケーションの構築・運用を支援します。

Webアプリケーションの危険性イメージ

脆弱性の原因と被害例

原因:

  • アプリケーション開発時の設計ミス、開発ミス
  • Webサーバの設定ミス
  • サポート切れや脆弱性が報告されている
    ミドルウェアの使用

被害例:

  • サーバダウン、サービス停止
  • 個人情報の漏えい
  • ECサイトにおける価格を改ざんした不正購入
  • 信用失墜(マスコミや特定掲示板での情報公開)

サービス 内容

セキュリティ・スペシャリストによる、きめ細かく信頼性の高い診断を実施
PCサイトからモバイルサイトまで、多様なニーズに対応

KCCSのWebアプリケーション脆弱性診断サービスでは、セキュリティ・スペシャリストによる手作業の検査と、ソースコードの診断・分析を組み合わせ、きめ細かく信頼性の高いWebアプリケーション脆弱性診断サービスをご提供。PCサイトからモバイルサイトまで、お客様のニーズやコンテンツの構成にあわせて柔軟に対応します。詳細でわかりやすいレポートにより、お客様サイトの診断結果について把握いただくことができます。

サービスイメージ

Webアプリケーション脆弱性診断サービスメニュー

Web
健康診断

当社エンジニアによるマニュアル診断によって、実際のケースに現れる主要な脆弱性12項目に限定し診断を行います。Webサイトのセキュリティレベルを早急に把握できるWebアプリケーション脆弱性診断です。

※1サイト約10ページ程度の抜き取り診断となります。

Essential Plan

ツールを併用した診断を行います。低価格で網羅的なWebアプリケーション脆弱性診断が可能です。

PCI DSS Plan

PCI DSS「要件6.5」、「要件6.6」、「要件11.3」に準拠するWebアプリケーション脆弱性診断を行います。

Standard Plan

当社エンジニアによるマニュアル診断を行います。網羅的かつ高精度なWebアプリケーション脆弱性診断が可能です。また、脆弱性に加えセキュリティ上の改善事項をご提案することにより、更なるセキュリティレベルの底上げを行うことができます。

Advanced Plan

Standard Planと同様の診断に加え、当社エンジニアによるソースコード診断を実施します。セキュリティ上の重要な部分に対してソースコード解析を行うことにより、潜在的な脆弱性の発見が可能なWebアプリケーション脆弱性診断です。

  マニュアル ツール ソースコード
診断
報告会 期間
Web健康診断 - - - 3日
Essential Plan - - 1週間~
PCI DSS Plan - オプション 2週間~
Standard Plan - オプション 2週間~
Advanced Plan オプション 2週間~

※期間は診断開始から納品までの期間ですが、対象サイトの規模により変動します。

報告書について

Webアプリケーション脆弱性診断の報告書は経営層の方にもお客様のサイトのリスクを把握していただくためのエグゼクティブサマリーや、発見された脆弱性とその根拠、対策方法、修正提言などをまとめたドキュメントとなります。
Webアプリケーション脆弱性診断の診断結果は点数化されているため、現状のリスクを可視化することが可能です。

報告書の構成(Standard Plan、Advanced Plan、PCI DSS Plan )

  項目 内容
1 エグゼクティブサマリー 総評、リスク、対策指針などをまとめます。
2 診断結果 セキュリティランク サイトごとの総合スコアを記述します。
他社結果との比較 当社で実施した他社の診断実績を基に、算出されたセキュリティランクの位置付けを記述します。
脆弱性一覧 サイトごとに検出された脆弱性の一覧を記述します。
3 脆弱性詳細 検出された脆弱性ごとに対策や検出例を記述します。
4 診断概要 診断対象の一覧などを記述します。

報告書イメージ

Standard Plan、Advanced Plan、PCI DSS Plan

報告書イメージ

Web健康診断

報告書イメージ

特長

精度の高いきめ細やかな診断(マニュアル診断とソースコード診断)

マニュアル診断(*)は、すべての診断項目を手作業で丁寧に診断します(効果的な診断が可能な手法です)。
Advanced Planでは当社エンジニアによるソースコード診断も提供。潜在的な脆弱性を発見します。

(*)Web健康診断のマニュアル診断は重要箇所のみとなります。

精度の高いきめ細やかな診断(マニュアル診断とソースコード診断)

柔軟な対応

お客様の予算などのご要件に合わせたプランをご提案します。
マニュアル診断とツール診断の組み合わせや、診断対象を重要画面に絞る(*)など柔軟に対応します。
当社では経験豊富な多数の診断員を擁しておりますので、急な診断期間の変更などが発生した場合においても可能な限り調整します。

(*)本来はすべての画面を診断対象とすることを推奨しています。

柔軟な対応

充実した診断レポート

診断結果のサマリ、発見された脆弱性の検出数、脆弱性の詳細および危険度、対策アドバイスなど、お客様専用の報告書を提出します。
  • 診断結果を点数化。診断実施サイトが抱えるリスクを可視化します。
  • オンサイトでの報告会(*)では、重大な脆弱性とその経営上のリスクを中心に、わかりやすく報告いたします。
(*)報告会はWeb健康診断ではオプションとなります。
充実した診断レポート

サービスフロー

Webアプリケーション脆弱性診断サービスにおける認識合わせを目的とした事前ヒアリングから、診断中に危険度の高い脆弱性が発見された場合の緊急連絡、診断終了後には詳細な報告書をもとにした結果のご報告まで、きめ細やかなサービスを提供します。

サービスフロー

主な検査項目

検査区分:サーバ設定

概要:プラットフォームの設定や実装方法に不備は存在しないか検査します。

検査区分:アプリケーション

概要:Webアプリケーションの実装方法に不備が存在しないか検査します。

検査区分:通信

概要:Webアプリケーションとサーバー間の通信に関して不備が存在しないか検査します。

検査区分:セッション管理

概要:セッションIDの取扱いに不備が存在しないか検査します。

検査区分:認証

概要:ログイン等の認証時に不備が存在しないか検査します。

検査区分:アカウント管理

概要:ログインアカウントの取扱いに不備が存在しないか検査します。

検査区分:パラメータ操作

概要:Webアプリケーションから送信されるパラメータを改変することで脆弱性が発生しないか検査します。

検査区分:クライアント側スクリプト

概要:Webアプリケーションで使用されているスクリプトに不備が存在しないか検査します。

検査区分:モバイル固有の問題

概要:モバイル端末に起因する脆弱性が存在しないか検査します。

検査区分:その他

概要:上記以外に脆弱性が存在しないか検査します。

価格

「お問い合わせ・資料請求」より、お問い合わせください。

セキュリティ診断サービスメニュー

外部脅威診断(脆弱性診断)

ネットワーク
脆弱性診断
外部ネットワークからの攻撃および内部ネットワークへのマルウェアの感染などを想定し、サーバやネットワーク機器の脆弱性や設定の不備によるリスクを可視化、発見された脆弱性に対する対策を提案します。
スマートフォン
アプリケーション
脆弱性診断
サーバ上のアプリケーションと、スマートフォンにインストールされたアプリケーションの両方の視点からセキュリティ上のリスクを可視化し、発見された脆弱性に対する対策を提案します。
IoTセキュリティ
脆弱性診断
インターネットやローカルネットワークに接続したIoTシステム(IoTデバイス、スマートフォンアプリケーション、Webアプリケーション、ネットワーク機器など)の各レイヤーに対するセキュリティリスクを可視化し、発見された脆弱性に対する対策を提案します。
ゲームセキュリティ
脆弱性診断
Webアプリケーションやスマートフォンで提供されるゲームアプリケーションに対し、チート行為によるゲームバランスの崩壊やサービス妨害などのリスクを可視化し、発見された脆弱性に対する対策を提案します。
PCI DSS 準拠支援
ソリューション
PCI DSSの要件に準拠した、脆弱性診断サービス(Webアプリケーション診断、ASV、ペネトレーションテスト)を提供します。

内部脅威診断

セキュリティインシデント
予防訓練サービス
さまざまなインシデントシミュレーションを通じ、お客様環境におけるセキュリティ耐性を診断するサービスです。無害化したマルウェア(ホワイトマルウェア)による外部接続や内部探索可否の診断(疑似APT)をベースに、標的型メール訓練や社員による内部不正シナリオによる追加検査などのオプションサービスもご用意しています。
セキュリティポリシー
診断
お客様のセキュリティ対策状況のヒアリングなどを通じ、対策や対策の優先順位をレポートします。
エンドポイント診断 マルウェア感染の要因となるパッチの適用状況や主要アプリケーションのバージョンを確認しレポートします。この他に、資産管理ソフトの操作ログ分析などにより、内部犯行対策にも活用可能です。

SecureOWL

京セラコミュニケーションシステム(KCCS)は、セキュリティブランド「SecureOWL」を展開しています。

SecureOWLとは

取扱製品一覧