サービス内容/料金

INDEX

セキュリティ診断とは?

インターネット上に存在するサービスは、常にセキュリティの脅威にさらされています。そうしたインターネット上の攻撃から身を守るためには、Webサイト/APIなどに潜む脆弱性を洗い出し、適切な対策をすることで、セキュリティリスクを減らすことができます。
この「脆弱性を洗い出し、その結果をご報告するサービス」が、セキュリティ診断サービスです。

信興テクノミストのセキュリティ診断サービスは、
・最新の攻撃手法にも対応した「ツール診断」
・ツールでは見つけきれない脆弱性も検出可能な「熟練技術者の手作業による診断」
この2つのハイブリッドで診断します。

2つのハイブリッド診断

検査コード(脆弱性をチェックするための処理やパラメータ)は、以下のような箇所に挿入されます

・URLパラメータ(GETパラメータ)
・POSTパラメータ(マルチパート、XML、JSON、CSVの各形式対応)
・URLパス中のパラメータ相当の箇所
・CookieやWebストレージ
・Header(Hostヘッダーなど)

<ツール診断>
短時間で膨大なパターンを検出。誤報も含まれるので診断員の精査も必要

ツールには、診断対象のリクエストを学習させ、当該リクエストの全てのパラメータに対してさまざまな検査コードを送信することができます。ただし、ツール診断では検出制度が高い反面、誤報も多く含まれますので、検出されたものが脆弱性かどうかの判断は、診断員による手作業での検証が必要です。

<手作業による診断>
ツール診断では検出しづらい箇所と、ツール診断結果の精査を実施

ツール診断では検出が困難な「認証や権限、プロセス、ロジックに関する脆弱性」は、診断員が手作業でチェックします。また、ツール診断の検出結果について「脆弱性かどうか」を検証するために手作業での診断を行います。

当社サービスにおける、品質確保のための4つの取り組み

(1) チェックリストによる品質の平準化

診断員ごとに属人化した手法や観点にならないように、診断の観点ごとに手順と判定基準を明確にした「診断管理シート(チェックリスト)」を活用しています。

(2) ツールと手作業による効率化

ツールと手作業による診断を組み合わせることで、ツールによる高速で網羅的な特性と、手作業の正確かつ論理的な特性を生かし、品質と作業効率の両方の向上を実現しています。

(3) 複数名での診断と検討会議

診断は主担当、副担当の2名体制で実施することを基本とし、診断漏れや判定誤りがないように、診断結果を相互に確認しています。
判定や診断方法に迷うケースが発生した場合は、チーム内で検討を行い、新たな基準や診断手順を策定します。

(4) 責任者レビュー

作業責任者が診断管理シート(チェックリスト)、ツール診断の結果、エビデンス、担当者へのヒアリングを基に、レビューを実施します。レビューにおいても、定型化されたレビューチェックリストを活用し、観点漏れや診断漏れ、判定誤りに気付けるようにしています。

セキュリティ診断のタイミング

システム開発中、または開発前の場合

セキュリティ診断のタイミング

「テストフェーズ」でのセキュリティ診断実施を推奨しております。検出されたセキュリティリスクを改修し、再診断を繰り返すことで安全なシステムのリリースが可能となります 。

本番稼働中(リリース後など)の場合

診断対象を本番稼働に影響が出ない範囲に絞ってセキュリティ診断を実施することができます。また、システムのご利用者さまに影響が少ない日程で実施することも可能です。ぜひ一度、ご相談ください。

診断単位「リクエスト」について

当社の診断では、画面や処理(機能)単位ではなく「リクエスト」を単位としています。このリクエストの数によって診断料金が変わります。

リクエストの定義

以下のように、2つの画面と2つの処理で構成されたWebシステムがあったとします。

リクエストの定義

この場合、ブラウザから見える画面は2つしかありませんが、リクエストを送信するURLは以下の通り全部で4パターンありますので、4リクエストとなります。

リクエストの目的リクエストURL
ユーザー登録画面を表示するhttps://○○/signup
処理Aを実行するhttps://○○/process?type=check&username=△△△
処理Bを実行するhttps://○○/process?type=regist&username=△△△
登録完了画面を表示するhttps://○○/completion

ここで注意が必要なのが、処理Aと処理Bです。この2つのURLは共に「/process」ですが、typeパラメータによって処理が分かれているため、別のリクエストとしてカウントします。処理を決定するパラメータが同じであれば、それ以外のパラメータ(上の表の緑色の文字)が違っていても、同じリクエストとしてカウントします。

例えば、処理Aではユーザー名をusernameパラメータとして受け取りますが、このパラメータを含むURLのパターンは無数に考えられます。しかし、処理を決定する部分のURL(下の表の青色の文字)は同じであるため、リクエストは1つとしてカウントします。

1つのリクエストに対して、複数パターンの検証コードを送信

https://○○/process?type=check&username=testname
https://○○/process?type=check&username=sampleuser
https://○○/process?type=check&username=’;select%20*%20from%20user;%2F%2F

実際の診断では、このようなさまざまな検証コードをパラメータに入れることで脆弱性の有無をチェックします。

なお、診断範囲はWebサイトの「全てのページや処理」を対象にするわけではありません。重複するリクエストやパラメータを持たないリクエストなど、脆弱性の検出率が低いパターンは除外してご提案させていただきます。

主な診断項目は6種類23項目、全部で70項目以上に対応!

当社のWebセキュリティ診断では、主に下記の項目について診断します。

認証

・パスワードポリシー
・不適切な認証
・脆弱なパスワードリマインダ

承認

・セッションの推測
・不適切な承認
・セッションの固定
・クロスサイトリクエストフォージェリ

クライアント側での攻撃

・クロスサイトスクリプティング
・コンテンツの詐称

コマンドの実行

・バッファオーバーフロー
・書式文字列攻撃
・LDAPインジェクション
・OSコマンドインジェクション
・SQLインジェクション
・SSI インジェクション
・XPath インジェクション

情報公開

・ディレクトリインデクシング
・ソース記載による情報漏えい
・推測可能なリソース位置

ロジックを狙った攻撃

・機能の悪用
・リダイレクタ
・不適切なプロセスの検証
・パストラバーサル

こちらに掲載している項目を含め、全部で70項目以上の脆弱性について診断いたします。

脆弱性のことが理解しやすい「報告書」

セキュリティ診断は脆弱性をゼロに近づけるために行うものです。そのためには、システム開発の管理者や開発担当の方にも脆弱性に関する正しい知識を持っていただく必要があると考えています。

そこで当社の報告書には、5段階評価のセキュリティレベルや、検出された脆弱性の概要(危険度、発生箇所など)に加えて、想定被害やその再現・対策方法まで分かりやすく記載。お客さまごとに丁寧に時間をかけて作成しております。

当社がご提出する報告書のサンプルをご覧いただけます。

※ 報告書のサンプルは、当社のサービスをご理解いただくために提供しています。その他の目的での利用や、無断での二次利用(複製・転載・転用・販売など)を固く禁じます

サービスご利用の流れ

お問い合わせをいただいてから、診断結果のご提出まで最短2週間でご対応可能です。ご不明な点がございましたら、どうぞお気軽にご相談ください。

1.お問い合わせ

まずは、お問い合わせページからお申し込みください。ご不明点やご質問などがありましたら、無料オンライン相談もご利用いただけます。


2.お見積もり

お客さまの診断対象について詳しくヒアリングさせていただき、リクエストの選定後、お見積もりをご提示します。ご予算に応じた対応も可能です。
お見積もりは無料です。また、お見積もり後に診断対象の変更がない限り、追加費用は発生しません


3.ご契約、診断環境の準備

ご契約後、必要に応じて診断環境をご準備いただきます。クラウドサービスなど外部の環境で診断する場合は、それぞれのサービスで定められた申請が必要になる場合があります。


4.診断実施と結果報告

診断の日程を調整した上で、当社にて診断を実施します。診断が終わりましたら診断結果をPDFにてご提出いたします。
ご要望の場合には、有償ではありますが報告会の実施も可能です。また、「危険度High」を検出した場合は、別途速報をご提出いたします。


5.脆弱性対策

診断結果に基づき、お客さまにて脆弱性対策を行っていただきます。なお、「危険度Medium」以上の項目に関しては、再診断を1回に限り無償で行いますのでぜひお申し込みください。


6.再診断実施と結果報告

再診断の日程調整を行い、一度目の診断結果で「危険度Medium」以上の項目に対して、脆弱性が正しく対策されたかどうか再度診断します。再診断結果をご提出し、サービスは終了となります。
サービス終了後も、「無料相談サービス」をご利用いただけます。詳しくはご契約時にご案内させていただきます。

お見積もりは無料!

ヒアリングや診断対象となるリクエストの選定は無料でご対応いたします。相見積もりも大歓迎です。ご契約後に、診断対象に変更があった場合は、再見積もりさせていただきますので、あらかじめご了承ください。

診断料金

サービス料金は、リクエスト数によって決まります。小規模なものやシステムの一部分だけでもセキュリティ診断をしたいという声にお応えし、10リクエストからご利用いただけます。どちらのプランも、ヒアリングによる事前調査や画面遷移図の作成、無料の再診断を含みます。

<基本メニュー>


スタンダードプラン

40万円

(税込 44万円)

10リクエストまで
報告書ご提出
無料の再診断(※)

31リクエスト以上ならお得
ボリュームプラン

128万円

(税込 140万8千円)

50リクエストまで
報告書ご提出
無料の再診断(※)

※無料の再診断は、診断結果が「危険度Medium」以上の項目のみとなります

改修が必要となる脆弱性を見つけたい方は、ボリュームプランをお勧めします

詳しくお知りになりたい方は、下記の統計資料をご確認ください。

<オプションメニュー>

10リクエスト追加

30万円

(税込 33万円)

報告会(1回)

15万円

(税込 16万5千円)

  • オプションメニューのみのお申し込みは、受け付けておりません
  • 30リクエストまでの場合は、スタンダードプランと10リクエスト追加の組み合わせでご案内いたします
  • 現地での診断(オンサイト診断)をご希望の場合は、上記の料金とは異なりますので別途ご相談ください
ご予算に応じて、お客さまに合わせたプランをご提案いたします

プランやオプションは、事前にご検討していただく必要はありません。ヒアリングした後に内容やご予算に応じてリクエストを選定し、無駄のない最適なプランをご提案いたします。どうぞお気軽にお問い合わせください

ボリュームプランをご利用いただいたお客さまのうち、76%のサイトで、改修が必要な脆弱性が見つかっています

スタンダードプラン

スタンダードプラン

ボリュームプラン

ボリュームプラン

グラフの青い箇所「C・D・E 評価」は、改修が必要です

診断結果の補足

A … 脆弱性が検出されなかった
B … Low(低)の脆弱性のみ検出
C … Medium(中)の 脆弱性を検出
D … High(高)の脆弱性を1種類検出
E … High(高)の脆弱性を複数検出

閉じる