脆弱性診断サービス

「脆弱性診断サービス」では、企業様の運営するWebサイトに脆弱性が潜んでいるか調査し、危険な箇所と危険度を報告させていただくサービスです。
脆弱性診断サービス
中小企業情報セキュリティ.COMがセキュリティの安全確認を致します! ご利用のシステム・サーバ・ネットワークは本当に安全ですか?脆弱性サービスで安全性を検証することをお薦めしております。
大きく分類すると、不特定多数を対象にしたウィルスの拡散と、特定の組織を対象にした標的型マルウェアの2パターンがあります。 不特定多数を対象にしたウィルスの拡散の代表はガンブラーです。ホームページを改ざんして悪意のあるスクリプトを埋め込み、ホームページを閲覧するだけでウィルスに感染したり、悪意のあるWebサイトへジャンプするなどの被害が発生します。 標的型マルウェアは、Webサイトを改ざんしてマルウェアに感染するようにプログラムを仕込み、パソコンをリモートから自由に操作できるようにバックドアを設置します。パソコンに侵入できるようになると、社内ネットワークにアクセスできるようになるため、社内の機密事項や個人情報にアクセスできるようになります。

概要

企業にとってのホームページの重要度が増すにつれ、ホームページを悪用してウィルスやマルウェアの発信源にする改ざんも増加の一途をたどっています。 ホームページの改ざんが行われると、被害を被りつつも第三者の被害者を出す加害者になってしまいます。 企業の信用問題にかかわる経営リスクです。 概要

サービス内容

Webの脆弱性をチェックし、危険な箇所と危険度をレポートします。 IPAのWebセキュリティガイドライン(2015年3月版)に沿ったチェックを行います。

【プラン】

  • Webアプリケーション診断ライトプラン通常のユーザインターフェースより脆弱性の有無を診断します。
    • 不特定多数を対象とした攻撃を受けた際の耐性を調べます。
  • Webアプリケーション診断スタンダードプラン通常のユーザインターフェースでは発生することのない脆弱性の有無を診断します。
    • 標的型攻撃を受けた際の耐性を調べます。
  • 【診断事項】SQLインジェクション
    • SQL文の構成を文字列連結で実施する際、アプリケーションの変数をSQL文のリテラルとして正しく構成されているか等。
    クロスサイトスクリプティング
    • HTTPレスポンスヘッダのコンテンツタイプフィールドに文字コードの指定の実施か等。
    クロスサイトリクエストフォージェリ
    • 処理の実行にて再度パスワード要求の有無等。
    OSコマンドインジェクション
    • シェルを起動可能とする言語機能が使われているか等。
    ディレクトリ・リスティング
    • Webサイトの設定ファイル、「Indexes」が管理されているか等。
    メールヘッダ・インジェクション
    • HTMLで宛先を指定しているか等。
    ディレクトリ・トラバーサル
    • 外部からのパラメータでWebサーバ内のファイル名を直接指定可能とするか等。
    意図しないリダイレクト HTTPヘッダ・インジェクション
    • Webサイトにてリバースプロキシとしてキャッシュサーバを構築しているか等。
    認証機能 セッションID管理の不備 アクセス認可制御の不備、欠落 Webクローラへの耐性 ※1度目の診断から半年以内の再診断は無料で実施させていただきます。診断結果に基づいてお客様に修繕作業を実施していただき、その後再診断することで問題が確実に改善されているかをご確認いただくことができます。

診断結果報告書イメージ

診断報告書には、診断結果の総合評価をはじめ、診断結果の詳細・発見された脆弱性およびその確認方法・セキュリティリスクレベル(緊急度)・推奨する対策などを記載し、お客様が改善実施すべき事項を明確にご提示いたします。 また6ヶ月以内の再チェックは無料で実施いたしますので、診断結果を元に改修作業を実施して頂き、再チェックすることで正しい改修を行うことができているかの確認も取れます。 診断結果報告書イメージ

診断結果報告書イメージ

診断結果報告書イメージ

お客様とお話をしていて共通して出る話題があります。

  • Webサイトの安全性を第三者に確認して欲しい
  • ワードプレス等のCMSを構築しており、最新バージョンになっていない
  • ネットショップを運営していてWebサーバに個人情報を保存している
  • Webアプリケーションを構築してから3年以上セキュリティ改修を行っていない
  • Web制作会社・開発会社がセキュリティに精通していなそうで心配

プラン

料金

Webアプリケーション診断ライトプラン

基本料金 200,000円
1URL毎 10,000円
<料金例> 10URLを脆弱性診断する場合
・基本料金:200,000円 ・1URL10,000円×10URL:100,000円
合計300,000円(税別)

Webアプリケーション診断スタンダードプラン

基本料金 400,000円
1URL毎 20,000円
<料金例> 10URLを脆弱性診断する場合
・基本料金:400,000円 ・1URL20,000円×10URL:200,000円
合計600,000円(税別)

よくある質問と答え

  • どのページを診断すればよいかわからないのですが?守らなくてはならないシステムやデータについてヒアリングの上、ご予算にあわせて診断実施ページのご提案も行っております。
  • システムを止められませんが脆弱性診断できますか?はい、システムを通常稼働したまま脆弱性診断することも可能です。ただし、実データとテストデータが混在しますので各ご担当者へご案内と調整をお願いします。
  • もし脆弱性が発見された場合に、システム改修もお願いできますか?はい、ほとんどの場合で対応可能です。稀に、プログラム自体が改修できない場合や著作権の関係で対応できない場合があることをご了承下さい。

脆弱性診断事例

事例をもっと見る >
UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop
中小企業の情報セキュリティを守る中小企業情報セキュリティ.COM by 横浜情報機器株式会社