自動WEB診断

手動WEB診断

セキュリティ技術者が、細かいところまで徹底的に調査します。 コストと時間の効率化が図れる[自動診断 + 手動診断]もご用意。セキュリティの用途やレベル等に応じて、最適なサービスをご提案します。
対象サイト:PCサイト、携帯サイト、スマートフォンサイト

手動診断メニュー
メニュー 内容 金額(円・税抜) 備考
WEB診断
  • ツールによる自動診断では実施できない部分も詳細に診断致します。
  • 事前調査の上お見積もりさせていただきます。
  • 日程等に関しては、別途ご相談とさせていただきます。
  • ぜい弱性として判定された部分を無料で再診断します(1か月以内)。
  • 報告会1回付き※
基本料金 800,000
  • ・手動WEB診断の基本料金には、10URLまでの診断を含みます。
  • ・ご不明点、日程、金額のご相談などはお気軽にお問い合わせください。
1URL 24,000
自動 + 手動診断
  • 全体はツールによる自動診断を実施し、ログインサイトなどぜい弱性が発生しやすい部分のみ、手動診断を実施致することができます。
  • コストと時間の効率化を図ることができます。
基本料金 498,000
ネットワーク診断
  • サーバーやネットワーク機器のセキュリティ上の問題点を人間の目で調査致します。
  • オンサイト診断をご希望の場合は入力フォームでお問い合わせください。
基本料金 488,000
ソースコード診断
  • ソースコード一式をお預かりし、技術者がセキュリティ上の問題点や潜在的に潜む問題点を調査・ご報告します。
基本料金 2,000,000
【ご注意】
※ 診断後のご相談は、メール、電話で対応させていただきます。
※ 報告会は、遠方の場合別途交通宿泊費を申し受けます。(東京発)
※ 同一診断の2回目以降の報告会は、別途料金となります。
※ 診断結果のデータは、通常3か月を目途に破棄させていただきます。保管期間はご相談ください。

※診断結果レポートのサンプルを希望されるお客様は、お問い合わせください。

手動WEB診断 診断の仕方と流れ

WEBアプリケーションに対して、外からの不正アクセスという観点から侵入手法を考察・試行し、WEBアプリケーションの安全性を調査します。
調査の結果、発見された問題点および対策を報告し、実施支援します。

自動WEB診断 診断の仕方と流れ 図解
STEP 1.お打合せ、環境整備,STEP 2.お申込み,STEP 3.ソースコード受領,STEP 4.診断作業,STEP 5.内部検証,STEP 6.診断結果
手動診断は、国内トップレベルのセキュリティエンジニアによる詳細な診断を実施。疑わしい部分としてピックアップされた項目を、さらにセキュリティ技術者が精査します。
・ご希望に応じて、報告会を実施します。
・ぜい弱性として判定された部分は、1か月以内なら無料で再診断も可能です。
日本で開発されたツールにより診断を行う『自動WEB診断』はこちら

ネットワーク診断 診断の仕方と流れ

公開ネットワーク上のサーバ、ネットワーク機器、インターネット側および内部LAN側のネットワーク機器の多項目診断のみならず、コンプライアンスの観点から、会社のポシリーに合致していない機器を洗い出すこともできます。

ネットワーク診断 診断の仕方と流れ 図解
診断内容 サービス内容
ポートスキャン 外部から接続可能な通信ポートを調査します。
また、不要な通信ポートが攻撃に悪用される危険性がないか調査します。
アプリケーションバナーチェック OSやWEBサーバ等の製品名・バージョンが外部から取得でき、それらが攻撃に悪用される危険性がないか調査します。
セキュリティホールチェック 最新のセキュリティパッチが適用されているか、OSやWEBサーバ等が適切に設定されているかを調査し、既存のセキュリティホールへの対策が適切に行われているか調査します。

ソースコード診断 診断の仕方と流れ

WEBアプリケーションのソースコードをお預かりし、セキュリティ技術者がソースコードの評価・点検を行います。セキュリティ上の問題点や潜在的に潜む問題点を調査し、検出された問題点の概要と箇所、および推奨する対策方法をまとめたレポートを作成します。

ソースコード診断 診断の仕方と流れ 図解
診断項目 概要 ぜい弱性
入出力処理 データの入出力処理にぜい弱性が存在するか調査します。 クロスサイトスクリプティング、SQLインジェクション、OSコマンドインジェクション
状態遷移の管理 セッション操作や画面遷移に関連する処理を調査します。 クロスサイトリクエストフォージェリ、シリアライズ不可オブジェクトのセッションへの保存、サーブレットのインスタンスフィールドの競合
セキュリティ機能 ユーザ管理機能を調査します。 機密情報の漏洩、secure属性が欠如したCookieの使用、ぜい弱性のあるハッシュアルゴリズムの使用、パスワードのハードコーディング
情報漏洩 HTMLソースやエラーメッセージなどから、重要情報が漏洩していないか調査します。 コメント内に残された過去のソースコード、プログラム言語やSQL固有のエラーメッセージの露呈
エラー処理 実行時に例外が発生した場合の対処方法を調査します。 広範囲な例外を扱うcatchブロック
コードの品質 ぜい弱性となりうる品質上の問題を調査します。 null参照の可能性、データベースリソース未解放、使用されない変数
機密情報の取り扱い 重要情報が漏洩しないか調査します。 信頼境界の侵害(Trust Boundary Violation)、標準出力へのログ出力、不適切なエントリポイント(main()メソッド)
言語およびフレームワーク使用方法 プログラム言語やフレームワークを適切に使用しているか調査します。 データベースリソースの直接管理、不適切なfinaleze()の実行、チェックされないメソッドの戻り値
環境設定および運用方式 アプリケーション実行環境の設定や運用方法を調査します。 デフォルトエラー画面定義の不備、設定ファイルへの平文パスワードの定義、HTTPメソッドに対するセキュリティ制約設定の不備,ビルド設定:外部ソースに依存したantスクリプト
お問い合わせ、資料請求、お見積希望はこちら