Webアプリケーション脆弱性診断サービス

概要

Webサイトからの情報漏えい対策など、Webセキュリティに関する総合的なソリューションを提供

近年、情報セキュリティの維持は企業の存続を左右しかねない重要な問題となっています。中でも、インターネット・Webサイトからの情報漏えいは依然として多発しており、その要因の多くが、Webアプリケーションの設計・開発の不備に起因すると指摘されています。KCCSのWebアプリケーション脆弱性診断サービスでは、脆弱性診断、リスク診断、脆弱性対策、開発プロセス改善策立案などを含む、Webセキュリティに関する総合的なソリューションを提供。セキュアなWebアプリケーションの構築・運用を支援します。

Webアプリケーションの危険性イメージ

不正ユーザによる攻撃→Internet→ファイアウォール→Webサーバ(アプリケーションの脆弱性 不正侵入Webページの改ざん)→DBサーバ(個人情報漏えい) 正常な通信を装っているため、ファイアウォールを通過しサーバ上のアプリケーションの脆弱性をついて攻撃!KCCSは、Webアプリケーションの脆弱性に対する効果的な「把握」と「対策」をご提案します。

脆弱性の原因と被害例

  • 原因:
    • アプリケーション開発時の設計ミス、開発ミス
    • Webサーバの設定ミス
    • サポート切れや脆弱性が報告されているミドルウェアの使用
  • 被害例:
    • サーバダウン、サービス停止
    • 個人情報の漏えい
    • ECサイトにおける価格を改ざんした不正購入
    • 信用失墜(マスコミや特定掲示板での情報公開)

サービス内容

セキュリティ・スペシャリストによる、きめ細かく信頼性の高い診断を実施
PCサイトからモバイルサイトまで、多様なニーズに対応

KCCSのWebアプリケーション脆弱性診断サービスでは、セキュリティ・スペシャリストによる手作業の検査と、ソースコードの診断・分析を組み合わせ、きめ細かく信頼性の高いWebアプリケーション脆弱性診断サービスをご提供。PCサイトからモバイルサイトまで、お客様のニーズやコンテンツの構成にあわせて柔軟に対応します。詳細でわかりやすいレポートにより、お客様サイトの診断結果について把握いただくことができます。

サービスイメージ

京セラコミュニケーションシステム:診断用PC 診断用携帯端末→Internet→お客様の所有するWebサイト:FW Webサーバ(Webサーバに搭載されたプログラムに対して診断を実施) DBサーバ

Webアプリケーション脆弱性診断サービスメニュー

診断精度:Web健康診断(診断制度:低)~Advanced Plan(診断制度:高)の昇順となります。

Web健康診断 当社エンジニアによるマニュアル診断によって、実際のケースに現れる主要な脆弱性12項目に限定し診断を行います。Webサイトのセキュリティレベルを早急に把握できるWebアプリケーション脆弱性診断です。

1サイト約10ページ程度の抜き取り診断となります。

Essential Plan ツールを併用した診断を行います。低価格で網羅的なWebアプリケーション脆弱性診断が可能です。
PCI DSS Plan PCI DSS「要件6.5」、「要件6.6」、「要件11.3」に準拠するWebアプリケーション脆弱性診断を行います。
Standard Plan 当社エンジニアによるマニュアル診断を行います。網羅的かつ高精度なWebアプリケーション脆弱性診断が可能です。また、脆弱性に加えセキュリティ上の改善事項をご提案することにより、さらなるセキュリティレベルの底上げを行うことができます。
Advanced Plan Standard Planと同様の診断に加え、当社エンジニアによるソースコード診断を実施します。セキュリティ上の重要な部分に対してソースコード解析を行うことにより、潜在的な脆弱性の発見が可能なWebアプリケーション脆弱性診断です。
マニュアル ツール ソースコード診断 報告会 期間
Web健康診断 - - - 3日
Essential Plan - - 1週間~
PCI DSS Plan - オプション 2週間~
Standard Plan - オプション 2週間~
Advanced Plan オプション 2週間~

期間は診断開始から納品までの期間ですが、対象サイトの規模により変動します。

報告書について

Webアプリケーション脆弱性診断サービスの報告書は経営層の方にもお客様のサイトのリスクを把握していただくためのエグゼクティブサマリーや、発見された脆弱性とその根拠、対策方法、修正提言などをまとめたドキュメントとなります。
Webアプリケーション脆弱性診断サービスの診断結果は点数化されているため、現状のリスクを可視化することが可能です。

報告書の構成(Standard Plan、Advanced Plan、PCI DSS Plan)

項目 内容
1 エグゼクティブサマリー 総評、リスク、対策指針などをまとめます。
2 診断結果 セキュリティランク サイトごとの総合スコアを記述します。
他社結果との比較 当社で実施した他社の診断実績を基に、算出されたセキュリティランクの位置付けを記述します。
脆弱性一覧 サイトごとに検出された脆弱性の一覧を記述します。
3 脆弱性詳細 検出された脆弱性ごとに対策や検出例を記述します。
4 診断概要 診断対象の一覧などを記述します。

報告書イメージ

  • Standard Plan、Advanced Plan、PCI DSS Plan
  • Web健康診断

特長

point 1 精度の高いきめ細やかな診断
マニュアル診断*は、すべての診断項目を手作業で丁寧に診断します(効果的な診断が可能な手法です)。
Advanced Planでは当社エンジニアによるソースコード診断も提供。潜在的な脆弱性を発見します。

*Web健康診断のマニュアル診断は重要箇所のみとなります。

point 2 柔軟な対応
お客様の予算などのご要件に合わせたプランをご提案します。
マニュアル診断とツール診断の組み合わせや、診断対象を重要画面に絞る*など柔軟に対応します。
当社では経験豊富な多数の診断員を擁しておりますので、急な診断期間の変更などが発生した場合においても可能な限り調整します。

*本来はすべての画面を診断対象とすることを推奨しています。

point 3 充実した診断レポート
診断結果のサマリ、発見された脆弱性の検出数、脆弱性の詳細および危険度、対策アドバイスなど、お客様専用の報告書を提出します。
  • 診断結果を点数化。診断実施サイトが抱えるリスクを可視化します。
  • オンサイトでの報告会*では、重大な脆弱性とその経営上のリスクを中心に、わかりやすく報告いたします。

*報告会はWeb健康診断ではオプションとなります。

サービスフロー

Webアプリケーション脆弱性診断サービスにおける認識合わせを目的とした事前ヒアリングから、診断中に危険度の高い脆弱性が発見された場合の緊急連絡、診断終了後には詳細な報告書をもとにした結果のご報告まで、きめ細やかなサービスを提供します。

サービスフロー

1事前準備:1.キックオフ(KCCS / お客様) 2.ヒアリングシートの記入・アカウントの準備(お客様) 3.サイト調査(KCCS) 4.開発環境準備 バックアップの実施(お客様) 5.サーバ管理者や業者への事前連絡(お客様) 1~3は診断実施2週間前~1週間前 4~5は診断実施1週間前~前日 2 1.診断(リモートの場合]:1.診断開始連絡 窓口ご担当者様へメールにてご連絡(KCCS) 2.診断実施(KCCS) 3.緊急連絡※(KCCS) 4.診断終了連絡 窓口ご担当者様へメールにてご連絡(KCCS) ※緊急度の高い脆弱性は都度メールにて窓口ご担当者様へメールにてご連絡(Standard Plan、Advanced Plan) 2.診断(オンサイト)の場合:1.入館準備(お客様) 2.診断機器の持ち込み・設定※4(KCCS) 3.診断実施※2 (KCCS / お客様) 4.1診断(リモート)の場合3、4と同様(KCCS) 3診断後:1.バックアップの復旧(お客様) 2.診断レポート作成(KCCS) 3.診断報告会(KCCS / お客様) 4.修正・再診断の検討(お客様)

主な検査項目

検査区分:サーバ設定
プラットフォームの設定や実装方法に不備が存在しないか検査します。

診断項目はこちら

項目名
不要なメソッド/サービスの稼動
バナーチェック
プラットフォームの既知の脆弱性
ディレクトリ・リスティング
強制ブラウジング
検査区分:アプリケーション
Webアプリケーションの実装方法に不備が存在しないか検査します。

診断項目はこちら

項目名
エラー処理状況
ロジック流出
バックドア、デバックオプションの存在
ファイル機能(アップロード、ダウンロード)
クロスサイト・リクエスト・フォージェリー
アプリケーション・ログの取得
セキュア・プログラミング状況
レースコンディション(マルチスレッド)
検査区分:通信
Webアプリケーションとサーバ間の通信に関して不備が存在しないか検査します。

診断項目はこちら

項目名
キャッシュ制御
通信の暗号化強度
リファラ情報
検査区分:セッション管理
セッションIDの取り扱いに不備が存在しないか検査します。

診断項目はこちら

項目名
セッションID使用状況
Cookie使用状況
ログアウト機能
検査区分:認証
ログインなどの認証時に不備が存在しないか検査します。

診断項目はこちら

項目名
ユーザ認証処理
アカウントロック機能
ブルートフォース攻撃(辞書攻撃)耐性
アクセス権限
検査区分:アカウント管理
ログインアカウントの取り扱いに不備が存在しないか検査します。

診断項目はこちら

項目名
権限昇格
情報管理
パスワード使用状況
検査区分:パラメータ操作
Webアプリケーションから送信されるパラメータを改変することで脆弱性が発生しないか検査します。

診断項目はこちら

項目名
HTTPヘッダ・インジェクション
メールヘッダ・インジェクション
クロスサイト・スクリプティング
SQLインジェクション
OSコマンド・インジェクション
パス・トラバーサル
バッファ・オーバーフロー
LDAPコマンド・インジェクション
その他パラメータ操作
検査区分:クライアント側スクリプト
Webアプリケーションで使用されているスクリプトに不備が存在しないか検査します。

診断項目はこちら

項目名
JavaScript許可状況
VBScript許可状況
JScript許可状況(IE限定)
カスケーディング・スタイル・シート許可状況
JavaApplet使用状況チェック
Ajax API実装チェック
クライアント側コメント
検査区分:モバイル固有の問題
モバイル端末に起因する脆弱性が存在しないか検査します。

診断項目はこちら

項目名
アクセス制御機能(ゲートウェイに依存する問題)
携帯固有番号に依存する問題
文字コードに依存する問題
フルブラウザ許可状況
検査区分:その他
上記以外に脆弱性が存在しないか検査します。

診断項目はこちら

項目名
クライアント・アプリケーションに関する問題
その他、HTTPプロトコルに依存する問題

価格

「お問い合わせ・資料請求」より、お問い合わせください。

お問い合わせ・資料請求別ウィンドウで開きます

カタログダウンロード

京セラコミュニケーションシステム(KCCS)は、セキュリティブランド「SecureOWL」を展開しています。
鋭い眼光と広い視野で暗闇でも見通すフクロウ(OWL)をブランドのキャラクターとしました。お客様の環境を監視し、大切な情報を守るためのセキュリティソリューションを提供します。