NECセキュリティ
Breadcrumb navigation
ウェブアプリケーションセキュリティ診断
テクノロジーコンサルティングウェブサイトやウェブアプリケーションの脆弱性を調査し、対策を取るサービス概要
ウェブアプリケーションやAPIに内在する脆弱性への懸念の解消のために、ウェブアプリケーションセキュリティ診断は、ウェブアプリケーションに内在している脆弱性の洗い出しと問題点に対する必要な対策をご提案するサービスです。
サービスの特長
官公庁やメガバンクの金融アプリケーションからECサイト、業務アプリケーション、会員サイトまで幅広い診断経験を持つ専門家が攻撃者の視点で疑似攻撃を行い、ウェブアプリケーションに内在している脆弱性や問題点を洗い出し、検出された脆弱性や問題点に対する必要な対策案をウェブアプリケーションの特性に応じて報告いたします。
対象となるアプリケーション
ECサイトや業務アプリケーション、会員サイトなどのウェブアプリケーションおよびAPI
本サービスでは、以下2つのサービスメニューをご用意しております。
Professionalサービス
専門家によるマニュアル診断(手作業)を中心とし、すべての診断項目に対する脆弱性を網羅的に洗い出します。そして洗い出された脆弱性を利用してなりすましや、権限昇格などの攻撃に転用可能か、またビジネスロジックの不備によって発生する問題の可能性を高い精度で発見します。
Standardサービス
ツールによる診断を中心とし、SQLインジェクションやクロスサイトスクリプティングなど、一般的によく検出される脆弱性を洗い出します。また、専門家によるマニュアル診断(手作業)で、ツールでは検出されない認証機能やセッション管理の脆弱性を洗い出します。
ウェブアプリケーションセキュリティ診断実施により明確になるセキュリティ懸案事項
- データベース内の情報にアクセスすることが可能か
- なりすましによる不正アクセスが可能か
- 一般ユーザが権限を昇格することが可能か
- 情報漏えいにつながる重要データの取得が可能か
- ページの改ざん、悪意あるサイトへの誘導が可能か
- フィッシング攻撃の踏み台として悪用することが可能か
実施環境
2つの環境からお選びいただけます。
- インターネット経由のリモート診断
- お客様オフィス(データセンター等を含む)に訪問し、現地にて実施するオンサイト診断
診断項目
| 項目 | 概要 |
|---|---|
| パラメータ操作 | クロスサイトスクリプティング(XSS) |
| SQLインジェクション | |
| メールヘッダインジェクション | |
| 各種インジェクション(XXE/OSコマンド/ディレクトリトラバーサル/HTTPヘッダなど) | |
| 情報の取り扱い | エラーメッセージ・コメントの出力 |
| WEB STORAGEの取り扱い | |
| サーバ設定・通信の不備 | 重要情報の平文通信 |
| ディレクトリ・リスティング/不要と思われるコンテンツ | |
| 各種HTTPレスポンスヘッダの不備 | |
| セッション管理・認証の問題 | 認証処理の不備 |
| 不正アクセスへの対策状況 | |
| セッション管理の不備 | |
| Cookieの取り扱い不備 | |
| アプリケーション固有の問題 | クロスサイトリクエストフォージェリ(CSRF) |
| アクセスコントロールの不備 | |
| ビジネスロジックの不備 | |
| CMS | 利用しているライブラリやCMSの調査 |
- ※上記の記載内容が、当社診断実施内容のすべてではございません。
- ※サービスメニューにより、提供する診断項目が異なります。
ウェブアプリケーションセキュリティ診断は、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。
※ 画像をクリックすると情報セキュリテイ基準審査登録制度サイトに遷移します。
情報セキュリティサービスマークについて
導入フロー
| 1 事前打ち合わせ |
|
|---|---|
| 2 診断実施 |
|
| 3 報告書作成 |
|
| 4 報告会実施 |
|
- ※サービス申込み時に機密保持契約を締結します。
- ※報告書提出から2週間、Q&A対応期間を設けています。
サンプル
