• お客様のささやきをカタチに。
  • クラウドとビッグデータ/AIでDX時代をリードする
文字サイズ
  • 文字サイズ:小
  • 文字サイズ:中
  • 文字サイズ:大

セキュリティ診断と脆弱性の改修をワンストップで対応
高セキュリティなシステムを実現

Webアプリケーションを介したハッキングへの対策として、専門のベンダーによるセキュリティ診断(脆弱性診断)を行う企業は増えています。しかし、一般的なセキュリティ診断(脆弱性診断)は、脆弱性の指摘と対策を報告書に記載するのみで、実際のコードの修正までサービスとして提供されることは多くありません。

セキュリティ診断&改修ワンストップソリューションでは、株式会社Flatt Securityによる高品質なセキュリティ診断の実施だけでなく、発見された脆弱性の改修をコムチュアが担当します。すなわち、セキュリティ診断から脆弱性の改修まで、必要なサービスをワンストップで利用することが可能です。社内に脆弱性を修正できる開発者がおらず、セキュリティ診断の依頼に迷っているお客様は、是非ご検討ください。

セキュリティ診断&改修ワンストップソリューション

ハッキングリスクは増加し続けています

グラフはNICT(情報通信研究機構)が公開した「ダークネットで観測された年間総パケット数」です。グラフが示す通りその数は年々増え続けており、主な原因は海外組織による調査目的の大規模なスキャンだとみられています。

このパケット数はあくまでひとつの指標ですが、近年ハッキングによる大規模な情報漏洩が頻発しているのは日々報道されている通りであり、インターネットを介してサービスを提供する事業者は常にハッキング被害への対策を行わなくてはなりません。

ハッキングリスクは増加し続けています
出展:NICTER 観測レポート 2020
https://www.nict.go.jp/cyber/report/NICTER_report_2020.pdf

このような課題はありませんか?

  • 開発中のWebアプリケーションのセキュリティをチェックしたい
  • 自社の開発者のスキルでは脆弱性の修正が難しい
  • 脆弱性改修のノウハウがないので、セキュリティ診断を発注したことがない
  • 脆弱性の改修を担当する開発者が不足している

矢印

セキュリティ診断から脆弱性改修まで外部リソースを活用できる
セキュリティ診断&改修ワンストップソリューションで解決!

株式会社Flatt Security

本ソリューションのセキュリティ診断は、株式会社Flatt Securityが提供します。

株式会社Flatt Securityは、東京大学発のサイバーセキュリティスタートアップ企業です。
海外のセキュリティコンテストで発見困難な脆弱性を報告し、30,000米ドルの賞金を獲得した実績を持つエンジニアなど、高い技術力を持つセキュリティエンジニア達がセキュリティ診断を提供しています。

3つの特長

セキュリティ診断と改修をセットでご提供

セキュリティ診断と改修を
セットでご提供

株式会社Flatt Securityによるセキュリティ診断とコムチュアによる改修で、それぞれの専門家がセキュリティ対策をワンストップでご支援します。診断して終わりにはしない、確かなセキュリティ対策を実現します。

外部リソースを活用したセキュリティ対策

外部リソースを活用した
セキュリティ対策

社内にシステム開発リソースはあっても、セキュリティ対策に割けるリソースまではない場合に、是非ご活用ください。本ソリューションを活用することで、システム開発と同時平行でセキュリティ対策が可能です。

お客様のご要望にあわせて診断範囲をカスタマイズ可能

お客様のご要望にあわせて
診断範囲をカスタマイズ可能

予算の都合等でお客様のサービス全てを診断・改修出来ない場合は、対象サービスや診断画面を絞ったご提案も可能です。

高品質なセキュリティ診断と脆弱性に対する改修を
セットでご提供

サービス紹介

セキュリティエンジニアによる手動診断とツール診断を組み合わせることによって、以下の項目に関して診断を実施します。
また、診断結果をもとに脆弱性に対する改修方針を策定後、改修作業を行います。

診断項目(Webアプリケーションの場合)

インジェクション

インジェクション

  • SQLインジェクション
  • OSコマンドインジェクション
  • HTTPヘッダインジェクション
  • ファイルインクルージョン
  • XXEインジェクション
  • コードインジェクション
  • メールヘッダインジェクション
  • クロスサイトスクリプティング

セッション管理

セッション管理

  • Cookieのsecure属性の欠如
  • セッションの有効期限
  • セッションIDのランダム性確認
  • セッションフィクセーション
  • クロスサイトリクエスト
    フォージェリ

認証

認証

  • ログインフォームの不備
  • ログイン試行のエラーメッセージ
  • アカウントロック機能の不備
  • ログアウト機能の不備
  • 認証の回避
  • 強制ブラウジング
  • ユーザ登録フローの不備
  • パスワード変更機能やパスワードリセット機能の不備
  • 脆弱なパスワードポリシー

認可

認可

  • 権限昇格
  • 認可制御の不備

一般的な脆弱性

一般的な脆弱性

  • 既知のソフトウェア脆弱性
  • ディレクトリリスティング
  • 不要なHTTPメソッド
  • サーバーエラーメッセージ
  • システム情報の開示

仕様や設計の不備や脆弱性

仕様や設計の不備や脆弱性

  • ロジックの不備
  • レースコンディション
  • メール送信機能の悪用
  • キャッシュ制御の不備
  • ディレクトリトラバーサル
  • ファイルアップロードの不備
  • オープンリダイレクト
  • SSRF(サーバーサイドリクエストフォージェリ)
  • 安全でないデジアライゼーション
  • 平文による機微情報の送受信
  • 機微情報のGETパラメータでの受け渡し

クライアントサイドのセキュリティチェック

クライアントサイドのセキュリティチェック

  • Web Storageへの機微情報格納
  • クリックジャッキング
  • 不適切なCross-Origin Resource Sharingの利用

料金:診断・改修ともに個別お見積り

対象:Webアプリケーション、AWS等のパブリッククラウド、SaaS

サービス利用の流れ

セキュリティ診断&改修ワンストップソリューション:サービスの流れ

診断結果報告書サンプル

セキュリティ診断&改修ワンストップソリューション:診断結果報告書サンプル

詳しくはお気軽にお問い合わせください!

詳しくはお気軽にお問い合わせください!