セキュリティサービス 技術と実績に裏付けられた安心

SaaS型Webセキュリティー診断サービス WebMinder on Demand

Webシステムに対するセキュリティー診断をお手頃価格で実施します。

三菱電機オンデマンドITサービス DIAXaaS-ダイヤエクサース-

Webシステムのセキュリティー対策は重要だが、予算確保は難しい…。そういうお客様の悩みを解決するお手頃価格のSaaS型診断サービスです。利用者向けポータルサイトで予約すると、ご指定の日時に診断がスタート、自動的に画面を巡回して診断を行い、脆弱性を検出します。診断完了後は、すぐにその結果をご確認いただけます。本格的なWebアプリケーションセキュリティー診断サービスの前の簡易的な診断サービスとしてもご利用になれます。

サービスイメージ

サービスイメージ

※検出可能な脆弱性については、順次拡張する予定です。

サービスの特長

オンデマンド方式による診断
利用者向けポータルサイト上で、お客様が希望する診断開始日時と診断対象のWebサーバーを登録するだけで、Webアプリケーションの脆弱性を自動的に診断できます。
スピーディな診断
診断は自動巡回によって行われるため、今まで予算的、時間的に診断が難しかった大規模なWebサーバーも手軽に診断できます。診断結果の報告書は、診断終了後すぐに、利用者向けポータルサイト上で確認できます。
契約期間中、何度でも診断可能
脆弱性が発見された場合は、問題箇所を修正した後、すぐにその対策の有効性を再確認できます。また、Webアプリケーションが変更された場合は、その都度、安全性を確認することができます。
主要な脆弱性検出項目をカバー
Webアプリケーションセキュリティー診断サービスの検査項目のうち、SQLインジェクション、クロスサイトスクリプティングなど、OWASPが公開しているOWASP Top10(2010年版)に記載されている脆弱性の全項目(ストレージ暗号化に関する脆弱性を除き)に対応する診断を行います。また最新の攻撃手法に対応して、定期的に検査パターンを更新します。
ログイン操作画面、データ入力画面以降の画面の診断
ログイン操作に必要なID/パスワードや電話番号など、書式に合わせた入力が必要なデータをあらかじめ設定しておくことができますので、これらの入力が必要な画面およびその先の画面を自動的に巡回しながら診断できます。
ネットワーク機器も診断可能
ネットワークセキュリティー診断サービスも利用することで、サーバーやネットワーク機器のOSからWebアプリケーションまでの全ての階層をSaaS型セキュリティー診断により検査可能です。

※OWASP Top10:Webアプリケーションセキュリティー向上のために活動する非営利団体OWASP(Open Web Application Security Project)が公開している、Webアプリケーション上で知られるハイリスクな脆弱性の上位10項目。

サービス内容

基本サービス

診断サービス
利用者向けポータルサイトにて診断の予約と診断結果の確認を行なうことができます。予約された日時になると、Webアプリケーションの作りに応じて診断サーバーが自動的に画面を巡回して診断を行ないます。診断終了後すぐに診断結果報告書を確認できます。年間契約と月契約タイプがあり、いずれの契約タイプでも契約期間内であれば何度でも診断を受けることができます。
また検査項目の種類に応じて、エントリーコースとスタンダードコース(OWASP Top10対応)を選択できます。
さらに、ネットワークセキュリティー診断サービスを利用することで、インターネットに公開しているサーバーやネットワーク機器に対し、OSやサーバーソフトウェアにおけるセキュリティー上の問題も検査できます。日々発見される最新の脆弱性情報に基づき、一日一回等、高い頻度で繰り返しネットワーク診断を自動実施可能です。

利用者向けポータルサイト(診断予約画面)

利用者向けポータルサイト(診断予約画面)

利用者向けポータルサイト(診断結果報告書画面)

利用者向けポータルサイト(診断結果報告書画面)
利用者向けポータルサイト(診断結果報告書画面)

オプション項目

報告書内容相談
診断結果報告書の内容について、MINDのWebシステムセキュリティー診断の専門技術者がご相談をお受けします。ご相談の対応には年間契約とスポット契約をご用意しており、いずれもオプション契約です。
  • 年間契約(オプション)
    診断サービスの年間契約タイプをご利用中のお客様向けサービスです。 24件/年までのご相談に対応します。
  • スポット契約(オプション)
    相談1案件ごとに対応します。診断サービスをご利用中のお客様であれば、契約タイプによることなく、どなたでもご利用いただくことができます。
診断ドメイン変更
診断サービス(年間契約)をご利用のお客様を対象としたオプションサービス。診断対象となるWebサーバーのドメイン(FQDN)を1回/月まで変更することができます。複数台あるWebサーバーの安全性の確認に便利なサービスです。例えば、奇数月はWebサーバー#1を、偶数月はWebサーバー#2を診断するというように、2台のWebサーバーを隔月で診断することもできます。
診断ドメイン変更

その他

お客様のポリシーに準拠した診断
診断結果報告書に、お客様のポリシーに準拠した緊急度評価のカスタマイズを希望される場合は、弊社営業担当にご相談ください。

ご利用例

少ない予算でWebアプリケーションの安全性を確認
予算の制約で、いままで安全性が確認できていないサイトの診断に利用
企業グループ全体のセキュリティーレベル確認
社内各部門やグループ各社が個別にWebサーバーをインターネットに公開しているケースで、企業グループ全体のセキュリティーレベルを確認するための施策として利用
サイト全体の安全性確認
画面数が多く、予算や時間の制約で一部の画面のみの診断で済ませているケースで、サイト全体の安全性を確認したい場合の利用
開発段階での診断
契約期間中に何度でも診断可能なので、脆弱性を作りこまないよう、開発段階で繰り返しチェックを行うために利用(※)

※)開発環境がインターネットに接続されている必要があります。

更新頻度が高いサイト
更新頻度が高く、診断せずに公開されているコンテンツが多数存在するサイトで、更新の都度の診断、あるいは定期的な診断に利用

導入フロー

STEP1 お客様からの利用申込み
  • MIND営業担当者より、本サービスの約款と利用申込書を送付
  • 利用申込書に必要事項を記入し申込み
  • MINDにてお客様指定のサーバー(FQDN)を登録
STEP2 診断予約
  • インターネット経由で利用者向けポータルサイトにアクセスし、診断実施希望日時を指定
STEP3 脆弱性検査(自動)
  • お客様ご指定の日時に診断サーバーによる診断を実施
STEP4 診断結果報告書作成(自動)
  • インターネット経由で、利用者向けポータルサイトにアクセスし、報告書を閲覧
STEP5 再現確認診断
  • 発見された脆弱性をお客様自身で修正
  • 診断結果報告書記載の脆弱性検出URLに対して、修正後の再現診断を実施
関連サービス・関連情報