• お客様のささやきをカタチに。
  • クラウドとビッグデータ/AIでDX時代をリードする
文字サイズ
  • 文字サイズ:小
  • 文字サイズ:中
  • 文字サイズ:大

大きなリスクを生みやすい認証機能を手動とツールの組み合わせで診断し
低コストで脆弱性を発見

Webアプリケーションを介したハッキングへの対策として、専門のベンダーによるセキュリティ診断(脆弱性診断)はかねてより有効な対策として知られています。しかし、セキュリティ診断は高額である場合が多く、予算の制約でツール診断のみ行っている企業は少なくありません。

認証機能のセキュリティ診断サービスは、セキュリティエンジニアがお客様のWebアプリケーションの認証機能に対して手動診断とツール診断を組み合わせた検証を実施します。これによりツール診断だけでは見つけられなかった脆弱性も発見できます。

手動診断の対象を認証機能(新規登録機能、ログイン機能、パスワードリセット機能)に絞ることで、高品質かつ低コストなサービスを提供いたします。これまで手動診断は予算的に実施できなかったお客様でも手軽にご利用可能です。

認証機能のセキュリティ診断サービス

ハッキングリスクは増加し続けています

グラフはNICT(情報通信研究機構)が公開した「ダークネットで観測された年間総パケット数」です。グラフが示す通りその数は年々増え続けており、主な原因は海外組織による調査目的の大規模なスキャンだとみられています。

このパケット数はあくまでひとつの指標ですが、近年ハッキングによる大規模な情報漏洩が頻発しているのは日々報道されている通りであり、インターネットを介してサービスを提供する事業者は常にハッキング被害への対策を行わなくてはなりません。

ハッキングリスクは増加し続けています
出展:NICTER 観測レポート 2020
https://www.nict.go.jp/cyber/report/NICTER_report_2020.pdf

このような課題はありませんか?

  • 開発中のWebアプリケーションの認証機能をチェックしたい
     
  • セキュリティ診断の予算は十分に確保できないが、リスクの高い認証機能だけは手動で診断したい
  • ツールによる自動スキャンの診断だけではなく、高度な手動の診断を実施したい
  • 重要なサービスに絞って手動診断を実施したい

矢印

セキュリティエンジニアによる手動診断とツール診断を組み合わせた
認証機能のセキュリティ診断サービスで解決!

株式会社Flatt Security

本サービスは、株式会社Flatt Securityが提供するサービスです。

株式会社Flatt Securityは、東京大学発のサイバーセキュリティスタートアップ企業です。
海外のセキュリティコンテストで発見困難な脆弱性を報告し、30,000米ドルの賞金を獲得した実績を持つエンジニアなど、高い技術力を持つセキュリティエンジニア達がセキュリティ診断を提供しています。

3つの特長

低コストで効果的なセキュリティ対策を実現

低コストで効果的な
セキュリティ対策を実現

認証機能の脆弱性は個人情報の漏洩など大きなリスクに直結することを意味します。本診断では診断範囲を絞っているため、重要部分のセキュリティを低コストで診断できます。

高品質な手動診断により致命的な脆弱性を探知

高品質な手動診断により
致命的な脆弱性を探知

新規登録機能・ログイン機能・パスワードリセット機能を対象に、実績豊富なセキュリティエンジニアが手動とツールを組み合わせた効果的な診断を実施します。

追加オプションで対象範囲の拡大にも対応可能

追加オプションで
対象範囲の拡大にも対応可能

本サービスの診断範囲は、最大10画面までとなりますが、50万円~300万円程度の追加費用※でWebアプリケーション全体を網羅的に診断することも可能です。
※一般的な規模のアプリケーションの場合

認証機能のセキュリティを重点的に診断

サービス紹介

認証機能にまつわる脆弱性に加えて、新規登録画面やログイン画面に一般的な脆弱性が存在しないか確認します。

診断項目

診断項目 手動診断 ツール診断 診断方法
診断ツールによる脆弱性スキャン 特定の画面に対してツールによるスキャンを行い、インジェクション系の脆弱性がないか確認。
ログインフォームの不備 - ログインフォームで、パスワード入力欄がマスクされているか検査。
また、ログインフォームから送信される情報が暗号化されているか確認。
アカウントロック機能の不備 - ログイン機能において、アカウントロックの仕組みにロックを回避できる問題などがないか検査。
アカウント作成フローの不備 - アカウント作成時のフローを確認し、アカウントの乗っ取りに繋がる問題やその他の問題がないか検査。
Cookieのsecure属性の欠如 セッション管理をするCookieにおいてsecure属性が設定されているか検査。
パスワード変更機能やパスワードリセット機能の不備 - パスワード変更時に変更前のパスワード情報の入力が必要となっていることや、パスワードリセット時に再発行するまでの流れに問題がないか検査。
脆弱なパスワードポリシー - 第三者が容易に特定できるようなパスワードを設定できる問題がないか検査。

料金:70万円(税別)

診断対象:Webアプリケーションにおける一般的な認証機能

※ID/Passwordによる認証以外の認証(生体認証やSNS認証等)は別途お見積りが発生します。
※診断は最大10画面とします。お見積り時に診断対象が含まれる画面を選定します。

サービス利用の流れ

認証機能のセキュリティ診断サービス:サービスの流れ

診断結果報告書サンプル

※認証機能診断の報告書例ではなく、一般的な診断の報告書例になります。

認証機能のセキュリティ診断サービス:診断結果報告書サンプル

詳しくはお気軽にお問い合わせください!

詳しくはお気軽にお問い合わせください!