Webアプリケーションに対する脆弱性診断を実施。改善策をご提示します。
現在のブロードバンド時代において、Webサイトを利用した情報発信、e-ビジネスの提供は、企業にとって重要なビジネスツールの1つとなっています。その一方で、Webサイトから個人情報や機密情報が漏洩し、社会的信用を失うなどの可能性も潜んでいます。
このようなリスクを回避するためには、Webアプリケーションが抱える脆弱性を把握し、対処することが重要となります。
サービスイメージ
サービスの特長
- Webアプリケーションの作りに応じた診断
- インターネットに公開されているWebアプリケーションへの攻撃は、ファイアウォールで防ぐことが困難です。本サービスでは、一般ユーザと同じようにインターネットからWebサイトへアクセスし、Webアプリケーションの作りに応じて専用脆弱性ツールを使用し、脆弱性を検出します。
また手動により、「なりすまし」などの技術的に深い検査を実施します。
※)プロフェッショナル診断サービスでご提供します。
- Webアプリケーションのリスクを最小限に
- お客様の環境に合わせた診断結果への評価と対策優先度をセキュリティ診断報告書としてご提供し、オンサイトによる報告会を実施します。
- 環境に合わせてセキュリティ状態を評価
- Webアプリケーションのセキュリティ状態を把握し、脆弱性の対処を進めることで、次のようなリスクを最小限にすることが可能です。
- 個人情報漏洩
- 他人になりすましてのアクセス
- サービス妨害
サービス内容
サービスメニュー
- ベーシック診断(専用ツールを使用した脆弱性診断を実施)
- Webアプリケーションの作りに応じて脆弱性検査ツールを使用し、脆弱性を検出します。
- SQLインジェクション
- OSコマンドインジェクション
- クロスサイトスクリプティング
- パラメータ操作
- バッファオーバーフロー
- セカンドオーダーアタック
- クロスサイトリクエストフォージェリー(CSRF)
- 不要なファイルの検出
- サーバの設定ミス
- プロトコルの不適切な使用
- エラーコード
- その他の既知の脆弱性
- セキュア属性のないCookie
- セッション管理に関する問題
- プロフェッショナル診断(専用ツールおよび手動による検査を実施)
- ベーシック診断に加え、技術者の手動による検査により、技術的に深い検査を実施します。
- なりすましなどの認証に関する問題
- パスワード機能に関する問題
オプション項目
- オンサイトでの検査
- インターネットを経由した診断が前提ですが、オプションによりオンサイトでの診断も実施します。
※)個別お見積りとなります。
サービス対象
- ユーザ入力のあるWebサイトや動的に画面を生成するWebサイト
- B to B、B to Cといった個人情報、企業情報などを扱うWebサイトなど
本番稼働前あるいはテスト環境での実施を推奨します。
導入フロー
- Webアプリケーションの概要確認
- 画面情報の確認
- 診断対象とする画面を選定
- インターネット経由で診断対象Webサイトにアクセス
- 診断対象画面のURL情報、入出力項目についての調査
- 検査方針、問題点の検出方法の検討、検査パターン作成など
- 脆弱性診断ツールあるいは手動による問題点の検出、確認
- 診断によって検出された脆弱性に関する報告書を作成
- 緊急で対応が必要なものは診断作業終了後にご連絡
- 報告書のご提出
- MIND技術者から診断結果とMIND見解についてご報告
