インターネット上に存在するサービスは、常にセキュリティの脅威にさらされています。そうしたインターネット上の攻撃から身を守るためには、Webサイト/APIなどに潜む脆弱性を洗い出し、適切な対策をすることで、セキュリティリスクを減らすことができます。
この「脆弱性を洗い出し、その結果をご報告するサービス」が、セキュリティ診断サービスです。
信興テクノミストのセキュリティ診断サービスは、
・最新の攻撃手法にも対応した「ツール診断」
・ツールでは見つけきれない脆弱性も検出可能な「熟練診断員の手作業による診断」
この2つのハイブリッドで診断します。
・URLパラメータ(GETパラメータ)
・POSTパラメータ(マルチパート、XML、JSON、CSVの各形式対応)
・URLパス中のパラメータ相当の箇所
・CookieやWebストレージ
・Header(Hostヘッダーなど)
ツールには、診断対象のリクエストを学習させ、当該リクエストの全てのパラメータに対してさまざまな検査コードを送信することができます。ただし、ツール診断では検出精度が高い反面、誤報も多く含まれますので、検出されたものが脆弱性かどうかの判断は、診断員による手作業での検証が必要です。
ツール診断では検出が困難な「認証や権限、プロセス、ロジックに関する脆弱性」は、診断員が手作業でチェックします。また、ツール診断の検出結果について「脆弱性かどうか」を検証するために手作業での診断を行います。
診断員ごとに属人化した手法や観点にならないように、診断の観点ごとに手順と判定基準を明確にした「診断管理シート(チェックリスト)」を活用しています。
ツールと手作業による診断を組み合わせることで、ツールによる高速で網羅的な特性と、手作業の正確かつ論理的な特性を生かし、品質と作業効率の両方の向上を実現しています。
診断は主担当、副担当の2名体制で実施することを基本とし、診断漏れや判定誤りがないように、診断結果を相互に確認しています。
判定や診断方法に迷うケースが発生した場合は、チーム内で検討を行い、新たな基準や診断手順を策定します。
作業責任者が診断管理シート(チェックリスト)、ツール診断の結果、エビデンス、担当者へのヒアリングを基に、レビューを実施します。レビューにおいても、定型化されたレビューチェックリストを活用し、観点漏れや診断漏れ、判定誤りに気付けるようにしています。
プラットフォームを対象にしたセキュリティ診断も可能です。ご希望の方は、お問い合わせフォームよりご連絡をお願いいたします。
当社の診断では、画面や処理(機能)単位ではなく「リクエスト」を単位としています。このリクエストの数によって診断料金が変わります。
以下のように、2つの画面と2つの処理で構成されたWebシステムがあったとします。
この場合、ブラウザから見える画面は2つしかありませんが、リクエストを送信するURLは以下の通り全部で4パターンありますので、4リクエストとなります。
| リクエストの目的 | リクエストURL |
|---|---|
| ユーザー登録画面を表示する | https://○○/signup |
| 処理Aを実行する | https://○○/process?type=check&username=△△△ |
| 処理Bを実行する | https://○○/process?type=regist&username=△△△ |
| 登録完了画面を表示する | https://○○/completion |
ここで注意が必要なのが、処理Aと処理Bです。この2つのURLは共に「/process」ですが、typeパラメータによって処理が分かれているため、別のリクエストとしてカウントします。処理を決定するパラメータが同じであれば、それ以外のパラメータ(上の表の緑色の文字)が違っていても、同じリクエストとしてカウントします。
例えば、処理Aではユーザー名をusernameパラメータとして受け取りますが、このパラメータを含むURLのパターンは無数に考えられます。しかし、処理を決定する部分のURL(下の表の青色の文字)は同じであるため、リクエストは1つとしてカウントします。
https://○○/process?type=check&username=testname
https://○○/process?type=check&username=sampleuser
https://○○/process?type=check&username=’;select%20*%20from%20user;%2F%2F
実際の診断では、このようなさまざまな検証コードをパラメータに入れることで脆弱性の有無をチェックします。
なお、診断範囲はWebサイトの「全てのページや処理」を対象にするわけではありません。重複するリクエストやパラメータを持たないリクエストなど、脆弱性の検出率が低いパターンは除外してご提案させていただきます。
当社のWebセキュリティ診断では、「OWASP Top 10: 2021」やIPA(情報処理推進機構)の「安全なウェブサイトの作り方」・「セキュアプログラミング講座」など業界標準に準拠し診断項目を定めています。
・パスワードポリシー
・不適切な認証
・脆弱なパスワードリマインダ
・セッションの推測
・不適切な承認
・セッションの固定
・クロスサイトリクエストフォージェリ
・クロスサイトスクリプティング
・コンテンツの詐称
・バッファオーバーフロー
・書式文字列攻撃
・LDAPインジェクション
・OSコマンドインジェクション
・SQLインジェクション
・SSI インジェクション
・XPath インジェクション
・ディレクトリインデクシング
・ソース記載による情報漏えい
・推測可能なリソース位置
・機能の悪用
・リダイレクタ
・不適切なプロセスの検証
・パストラバーサル
こちらに掲載している項目を含め、全部で70項目以上の脆弱性について診断いたします。
このほかにも、プラットフォームを対象にしたセキュリティ診断もございます。ご希望の方は、お問い合わせフォームよりご連絡をお願いいたします。
セキュリティ診断は脆弱性をゼロに近づけるために行うものです。そのためには、システム開発の管理者や開発担当の方にも脆弱性に関する正しい知識を持っていただく必要があると考えています。
そこで当社の報告書には、5段階評価のセキュリティレベルや、検出された脆弱性の概要(危険度、発生箇所など)に加えて、想定被害やその再現方法、一般的な対策方法まで分かりやすく記載。お客さまごとに丁寧に時間をかけて作成しております。
当社がご提出する報告書のサンプルをご覧いただけます。
※ 報告書のサンプルは、当社のサービスをご理解いただくために提供しています。その他の目的での利用や、無断での二次利用(複製・転載・転用・販売など)を固く禁じます
ご契約をいただいてから、診断結果のご提出まで最短2週間でご対応可能です。ご不明な点がございましたら、どうぞお気軽にご相談ください。
まずは、お問い合わせページからお申し込みください。ご不明点やご質問などがありましたら、無料オンライン相談もご利用いただけます。
お客さまの診断対象について詳しくヒアリングさせていただき、リクエストの選定後、お見積もりをご提示します。ご予算に応じた対応も可能です。
お見積もりは無料です。また、お見積もり後に診断対象の変更がない限り、追加費用は発生しません。
ご契約後、必要に応じて診断環境をご準備いただきます。クラウドサービスなど外部の環境で診断する場合は、それぞれのサービスで定められた申請が必要になる場合があります。
診断の日程を調整した上で、当社にて診断を実施します。診断が終わりましたら診断結果をPDFにてご提出いたします。
ご要望の場合には、有償ではありますが報告会の実施も可能です。また、「危険度High」を検出した場合は、別途速報をご提出いたします。
診断結果に基づき、お客さまにて脆弱性対策を行っていただきます。なお、「危険度Medium」以上の項目に関しては、再診断を1回に限り無償で行いますのでぜひお申し込みください。
再診断の日程調整を行い、一度目の診断結果で「危険度Medium」以上の項目に対して、脆弱性が正しく対策されたかどうか再度診断します。再診断結果をご提出し、サービスは終了となります。
サービス終了後も、「無料相談サービス」をご利用いただけます。詳しくはご契約時にご案内させていただきます。
サービス料金は、リクエスト数によって決まります。小規模なものやシステムの一部分だけでもセキュリティ診断をしたいという声にお応えし、基本メニューでは10リクエストからご利用いただけます。ABURIDA3、ABURIDA10、ABURIDA50、全ての料金プランに、ヒアリングによる事前調査や画面遷移図の作成、無料の再診断が含まれます。
3リクエストまで
報告書ご提出
無料の再診断(※)
3リクエストまでの診断を、原則基本メニューと同じサービス内容でご提供いたします。サービスのご利用にあたっては、「診断時期は当社指定」「オンサイト不可」など一定の条件がございますので、お問い合わせ時にご確認ください。また、公序良俗に反するサイトなどはお断りさせていただきますので、予めご了承くださいませ。
※無料の再診断は、診断結果が「危険度Medium」以上の項目のみとなります
ABURIDA3は、少しでも多くの方に「サービスの体験」を通じてセキュリティ対策に必要なことをご理解していただき、セキュリティ診断のメリットを感じていただくための料金設定にしております。
そのため、ひと月あたり1社さま限定としておりますので、お申し込み状況によってはお待ちいただくか、お引き受けできない場合もございます。
(税込 44万円)
10リクエストまで
報告書ご提出
無料の再診断(※)
(税込 140万8千円)
50リクエストまで
報告書ご提出
無料の再診断(※)
※無料の再診断は、診断結果が「危険度Medium」以上の項目のみとなります
詳しくお知りになりたい方は、下記の統計資料をご確認ください。
(税込 33万円)
(税込 16万5千円)
報告会は30分〜1時間程度、原則オンラインで実施いたします。報告会では、診断を担当した診断員が、報告書内の重要ポイントをピックアップして解説いたします。
また、診断中のプロセスや状況、観点を基にした質疑応答をさせていただきます。例えば、SQLインジェクションを発見した際に、「どのような視点や攻撃方法で引っ掛かりを見つけたのか」とか、「対象外の箇所でも起きそうな場所はあるのか」、「具体的にどうやって対策すればいいのか」など、報告書には記載されないことを、実際の報告書を見ながらご質問いただけます。
他にも、お客さまの決裁者や担当者はもちろん、開発ベンダーの方や営業職の方などを一堂に集め、報告会の場を通じてステークホルダーにセキュリティリスクを共有することができます。
「報告会を含めて発注していたが、脆弱性検出が少ないのでキャンセルしたい」「申し込んでいなかったけど、やっぱり報告会をしてほしい」なども対応可能ですので、お客さまのご事情に合わせて「報告会」をご活用くださいませ。
オプションメニューによりリクエストを追加した場合は、その数に応じて割引いたします。詳しくは、お問い合わせください。
プランやオプションは、事前にご検討していただく必要はありません。ヒアリングした後に内容やご予算に応じてリクエストを選定し、無駄のない最適なプランをご提案いたします。どうぞお気軽にお問い合わせください
グラフの青い箇所「C・D・E 評価」は、改修が必要です
診断結果の補足
■ A … 脆弱性が検出されなかった
■ B … Low(低)の脆弱性のみ検出
■ C … Medium(中)の 脆弱性を検出
■ D … High(高)の脆弱性を1種類検出
■ E … High(高)の脆弱性を複数検出
