情報漏えい対策・調査の会社ネットエージェント

ネットエージェント

ホームページ・Webアプリケーション診断

不正アクセス・マルウェアの被害を未然に防ぐ!

サイバー攻撃を未然に防ぐ!Webアプリケーション調査とは

「ホームページ・Webアプリケーション診断」は、攻撃者の視点から様々な疑似攻撃を考察・試行することで、 Webアプリケーションの安全性を徹底的に調査する診断サービスです。

ホームページ・Webアプリケーション診断の結果に基づきセキュリティ対策を施すことで、SQLインジェクション、クロスサイトスクリプティング、 セッションハイジャックなどのサイバー攻撃による被害を未然に防ぐことができます。

ホームページ・Webアプリケーション診断では、専門家による手動診断を中心としつつ、お客様のご要望に応じて、独自に開発した診断ツールと 手動を組み合わせた診断を実施しております。

ホームページ・Webアプリケーション診断の4つの特長

1

最新の攻撃手法まで反映済!

24時間365日リアルタイムでセキュリティ監視を行う「JSOC」、最新の脅威や動向を研究する機関である「サイバー・グリッド研究所」、セキュリティ事故の緊急対応を行う「サイバー救急センター」から得た最新の攻撃手法 や脆弱性情報を反映し、診断を実施します。

2

豊富な導入実績

セキュリティ診断サービスについては約6,950団体(※)の豊富な導入実績があります。蓄積された過去の膨大な診断結果は統計データ化しており、お客様の診断結果を評価・分析する際に活用しています。 ※2015年3月現在累計

3

各種セキュリティ指標に対応

クレジットカード業界のセキュリティ標準であるPCI-DSSで参照されている「OWASP Top 10」や、情報処理推進機構の「セキュリティ実装チェックリスト」に含まれる脆弱性を診断対象とするなど、各種セキュリティ指標にも対応しています。

4

質の高い効率的な診断の提供

セキュリティ診断の品質を高めるためには、お客様固有の仕様や特性等を加味しながら柔軟に対応する必要があり、その結果診断に多くの時間を要することがあります。そのため診断の品質を保ちながら結果をいち早くお客様にお届けできるよう、独自の診断ツールを開発など、日々診断業務の効率化に努めています。

診断実施内容

診断対象

  • ショッピングサイト
  • 会員制サイト
  • 検索機能を有するサイト
  • お申込み、アンケート受付サイト
  • スマートフォン、モバイル向けサイト
  • SOAPを使ったWebサービス

※上記は一例ですので、対象サイトについてはお気軽にご相談ください。

サービス内容

サイト・プラットフォーム診断には、インターネット経由で 診断する「リモート診断」と、内部セグメントから診断する「オンサイト診断」の2種類があります。

クロスサイトスクリプティング診断 不正なスクリプト文字列やHTMLタグなどを送信した際、入力文字が適切に処理されているかチェックします
SQLインジェクション診断 Webアプリケーションを通じて、データベースから情報を抜き出せないかチェックします
セッション管理診断 権限が適切に管理されているかチェックします
認証診断 認証機能に不備がないかチェックします
ファイル拡張子診断 不正なファイル操作が行われないかチェックします
OSコマンドインジェクション診断 不正なコマンドを実行できないかチェックします
ディレクトリトラバーサル診断 ディレクトリをさかのぼり、本来閲覧不可能なファイルにアクセスできないかチェックします
権限昇格診断 ユーザ権限から管理者権限などへの不正な昇格が可能かチェックします
パラメータ書き換え診断 任意のパラメータなどを追加し、問題が発生しないかチェックします
Webアプリケーション固有の問題についての診断 その他、システム障害や利用者に影響のある問題がないかチェックします

サービス提供の流れ

  1. STEP1

    問診票(お客様より)

  2. STEP2

    ヒアリング

    お客様からの要望、コストに応じて最適な診断範囲を決定します。

  3. STEP3

    診断

    診断対象となるウェブページやサーバ、ネットワーク機器の安全性を確認します。

  4. STEP4

    分析

    診断結果をもとに脆弱性を洗い出しセキュリティリスクを分析します。

  5. STEP5

    診断報告書(お客様へ)

  6. STEP6

    報告会

    システムの問題点が明確にわかります。
    既存の脆弱性の影響、対策の説明、対策の優先順位付けなどを行います。

  7. STEP7

    改善実施へのお手伝い

    報告書提出から3ヵ月間はお客様のお問い合わせに対応します。

診断結果報告書イメージ

診断報告書には、診断結果の総評、評価ランク(5段階)をはじめ、診断結果の詳細・発見された脆弱性およびその確認方法・セキュリティリスクレベル(緊急度)・推奨する対策などを記載し、お客様が改善実施すべき事項を明確にご提示いたします。 また、業種別の統計情報も掲載しますので、同業他社に比べて自社がどの程度のレベルなのかということなども知ることができます。

診断結果報告書イメージ

お問合せ・ご相談はお気軽に

その他の情報漏えい対策

当社では万一『 情報漏えい 』が起きてしまった時のための対策製品もご用意しております。

情報漏えい対策製品 PacketBlackHole

社内で発生した通信を全て取得・解析するアプライアンス製品です。
PacketBlackHoleで通信を取得しておくことで、万一サイバー攻撃に遭った際の原因や漏えいした情報の特定にご活用頂けます。

ホームページ・
Webアプリケーション診断

このサービスへの相談・問合せ

03-5619-1341

ご相談・お問合せ 資料請求