English
- トップページ >
- ソリューション・サービス >
- インフラ構築・運用サービス・セキュリティ >
- Webアプリケーション・プラットフォームセキュリティ診断サービス
ライフサイクルに応じたセキュリティ診断を提供
定期的に受診することで、セキュリティレベルを維持
情報漏洩に関する報道を目にする機会が増え、経営者やIT部門のセキュリティ意識は高まっています。しかし、セキュリティ製品の導入だけでは、日々巧妙化するサイバー攻撃や標的型攻撃等による情報漏洩リスクに対処できません。このため、ECサイトや社内システム、ネットワーク等に潜む脆弱性を洗い出し、一つずつ対処することが重要です。
Webアプリケーション・プラットフォームのセキュリティ診断サービスは、ECサイトや社内システムやネットワーク等の脆弱性を検出し、診断結果や再現方法、今後の対応策をご報告するサービスです。また、報告書の納品後も30日間のQAサポートを提供しており、セキュリティの知識に不安があるお客様に対する技術的なサポートも行います。さらに、ご要望に応じて、お客様で実施した改修により問題が解決したかを確認するための再診断も行います。
このような課題はありませんか?
- 開発中のWebアプリケーションのセキュリティを
チェックしたい - セキュリティへの危機意識はあるが、何をしたらいいのか分からない
- 親会社から急遽セキュリティチェックをするように
指示が出た
- 新しいWebアプリケーションをリリース後、定期的に
セキュリティ診断を受けたい - 自社のセキュリティレベルを客観的に評価したい
- 取引先よりサプライチェーン攻撃対策としてセキュリティ診断の監査結果を求められた
ライフサイクルに応じて診断可能な
Webアプリケーション・プラットフォーム
セキュリティ診断サービスで解決!
本セキュリティ診断サービスは、株式会社アズジェントが提供するサービスです。
株式会社アズジェントは、多種多様なセキュリティ製品・サービスを取り扱うサイバーセキュリティ総合ソリューションベンダーです。常に最新の脆弱性情報やセキュリティ事象を収集している経験豊富なセキュリティエンジニアが、お客様のビジネスの特性や仕様を考慮しながらセキュリティ診断を行います。
3つの特長
ハイブリッド診断により
品質とスピードを確保
ツールとアナリスト診断によるハイブリッド診断を行います。ツールにより診断スピードを上げつつ、ツールで診断できない部分はアナリストの経験と知見を駆使して脆弱性の有無を確認します。アナリストが介することで、ツールでは拾いきれない、認証・アクセス制御・セッション管理のセキュリティ診断が可能です。
分かりやすい
報告書を納品
診断結果や発見された指摘事項をまとめた報告書を作成します。報告書は結果を把握しやすい経営者向けの「サマリー」と、実際に修正を担当するエンジニア向けの「脆弱性詳細」の2部構成になっています。報告書のサンプルをご希望のお客様はお問い合わせください。
パッチ適用作業の
代行も可能
診断後にサーバOSやミドルウェアへのパッチ適用が発生した場合に、弊社が作業を代行することも可能です。IT部門の人手不足により、社内で対応が難しいお客様はご相談ください。ご要望に応じて夜間・休日対応も実施いたします。
お客様の用途に応じたサービス展開
診断・報告・QAサポートまで一貫して対応
サービスやシステムの公開前にセキュリティ診断を受けたいお客様向け
Webアプリケーション診断サービス
クリックで開閉
クレジット情報等の個人情報を扱うECサイトやシステム構築・機能追加時に内在する脆弱性を発見し、納品・公開前に安全性を確保した状態でリリースが可能です。
診断対象
会員向けサイト、ECサイト、アンケートサイト、予約システム、オンラインバンキング、ネットトレーディング、ブログ、SNS、イーラーニング、スマートデバイス向けサイト 等
主な診断項目
| 項目 | 診断内容 |
|---|---|
| クロスサイト スクリプティング診断 |
悪意のあるスクリプトがWebアプリケーションを介して実行される危険性をチェックします。 |
| クロスサイトリクエストフォージェリ診断 | 意図しない何かしらの重要な操作が行われる危険性をチェックします。 |
| SQLインジェクション 診断 |
Webアプリケーションからデータベースが不正に操作される危険性をチェックします。 |
| OSコマンド インジェクション診断 |
WebサーバのOSコマンドを不正に実行される危険性をチェックします。 |
| ディレクトリ トラバーサル診断 |
通常アクセスできないファイルやフォルダが閲覧されてしまう危険性をチェックします。 |
| 項目 | 診断内容 |
|---|---|
| 強制ブラウジング診断 | 公開されることを想定していないコンテンツが不正に使用される危険性をチェックします。 |
| 認証機能/アクセス制御診断 | 適切なログインを行うことなく、ログイン後のコンテンツにアクセスされる危険性をチェックします。 |
| サーバ環境診断 | WebサーバやCMS、管理ツール等に存在する既知の脆弱性をチェックします。 |
| セッション管理診断 | セッションや権限管理の適切性をチェックします。 |
| アプリケーション ロジック診断 |
診断対象Webアプリケーション独自の脆弱性についてチェックします。 |
サービスの流れ
※記載日数は、目安となります。要員の手配状況や案件の大小により異なる場合があります。
レポートサンプル
定期的にサーバOS、ミドルウェア、ネットワーク機器のセキュリティ診断を受けたいお客様向け
プラットフォーム診断サービス
クリックで開閉
サーバOS、ミドルウェア、ネットワーク機器は時間経過とともに脆弱性が発見されるため、定期的にセキュリティ診断をすることでセキュリティレベルを維持します。
診断対象
お客様のネットワークに接続されたサーバや機器で稼働しているOS、ミドルウェア、サーバソフトウェア、ネットワーク機器(ルータ、ファイアウォール、IDS/IPS等)
主な診断項目
| 項目 | 診断内容 |
|---|---|
| ポートスキャン検査 | 診断対象機器のTCPやUDP(弊社指定ポート)をチェックします。 |
| ホスト情報収集 | 診断対象のOSやアプリケーション等の情報を収集し、評価します。 |
| 脆弱性スキャナによる診断 | 信頼性の高い複数の診断ツールを用いて、既知の脆弱性、パッチの適用状況やアカウント情報などを検査します。 |
| セキュリティエンジニアによる手動診断 | 診断ツールでは発見の難しい脆弱性をセキュリティエンジニアが手動で診断します。 |
| 脆弱なアカウント調査 | 推測可能なアカウントやパスワード情報を利用してリモートからログインされる危険性を確認します。 |
サービスの流れ
※記載日数は、目安となります。要員の手配状況や案件の大小により異なる場合があります。
レポートサンプル
特定のシナリオに沿ってセキュリティ診断を受けたいお客様向け
ペネトレーションテストサービス
クリックで開閉
検査対象のシステム構成等に応じた攻撃シナリオに沿って、特定の脆弱性や問題点を発見します。
主な診断項目
| 項目 | 診断内容 |
|---|---|
| ポートスキャン検査 | 診断対象機器のTCPやUDP(弊社指定ポート)をチェックします。 |
| ホスト情報収集 | 診断対象のOSやアプリケーション等の情報を収集し、評価します。 |
| 脆弱性スキャナによる診断 | 信頼性の高い複数の診断ツールを用いて、既知の脆弱性、パッチの適用状況やアカウント情報などを検査します。 |
| セキュリティエンジニアによる手動診断 | 診断ツールでは発見の難しい脆弱性をセキュリティエンジニアが手動で診断します。 |
| 項目 | 診断内容 |
|---|---|
| Exploitコードの実行/Payloadの創出 | 攻撃用プログラム(Exploit)の実行による実際の攻撃を行い、侵入を試みます。また、必要に応じてExploitを用いた攻撃後にサーバの不正操作を狙う動作を組み込んだプログラム(Payload)の送出を行い、サーバの操作を掌握する取り組み等を実行します。 |
| 辞書攻撃 | 推測したアカウントや一般的に利用されるパスワード情報を利用して、数千~数万パターンの認証情報を推測し、ログインに至る危険性を確認します。 |
| 侵入後の活動(Post-Exploit活動) | 対象サーバに侵入後、脆弱性の存在による管理者権限への昇格のリスクや、静的解析によるパスワードハッシュから平文パスワードを取得されるリスクを確認します。 |
サービスの流れ
※記載日数は、目安となります。要員の手配状況や案件の大小により異なる場合があります。
サービス提供形式
リモート診断
インターネット経由で診断をします。公開サーバに内在する脆弱性、ファイアウォールやルータ等に設定されているアクセス権限の状況を確認します。
オンサイト診断
エンジニアがお客様環境に訪問し、内部ネットワークから診断します。内部ネットワークに接続されたサーバやネットワーク機器に内在する脆弱性、セキュリティ機器(ファイアウォール)によるアクセス制御がない状態で脆弱性を確認します。
