アクセスアップ ホームページ制作 HOMEへ

【セキュリティ診断サービス 東京都 新宿区】

WEBシステム全体を診断 

「セキュリティ診断サービス」は、WEBサイトとサーバを網羅したWEBシステム全体を診断し、問題点を洗い出します。

不正アクセスの脅威からwebサイトを守るための「webセキュリティ診断」!

個人情報の入力が不可欠なECサイトや会員登録サイトなどのwebを利用するサイトが拡大する一方で、webサイトへの不正アクセス(=攻撃)も急増しています。
当社は、大切なお客様の情報などを管理する企業様を対象に「webサイトの脆弱性診断」をお勧めしています。

■「脆弱性のあるwebサイト」

webサイトセキュリティ01

■「安全なwebサイト」

webサイトセキュリティ02


「webサイトの脆弱性診断」(webアプリケーション診断:セキュリティ ブランケット シリーズ)

セキュリティ ブランケット シリーズはインターネット経由でお客様のWebサイトやネットワークにアクセスし、セキュリティ上の問題点をレポートするサービスです。

●「webサイトの脆弱性診断」の種類は、「手動診断」と「自動診断」があり、その他に「ネットワーク脆弱性診断」があります。

[Webサイト脆弱性診断 (手動)]
■ Security Blanket Pro (セキュリティ ブランケット プロ)
・お客様のWebサイトにアクセスし、セキュリティ上の問題点を検出。
・診断は項目全てをセキュリティエンジニアによる手動検査を実施。
・結果レポートは脆弱性カテゴリ毎に概要、再現手順、対策方法、同様の発生箇所の一覧を記載。
・発生箇所一覧はURL、パラメータの情報ですので、修正時の資料として利用可能。

■ Security Blanket Advance (セキュリティ ブランケット アドバンス)
・自動+手動の診断です。
・サイト全体を自動で診断し、主要な箇所は手動で検査するサービスです。
・結果レポートは脆弱性カテゴリ毎に概要、再現手順、対策方法、同様の発生箇所の一覧を記載。
・発生箇所一覧はURL、パラメータの情報ですので、修正時の資料として利用可能。

[Webサイト脆弱性診断 (自動)]
■ Security Blanket Standard (セキュリティ ブランケット スタンダード)
・1FQDN(=ホスト)に対し1回の自動診断実施。URL数の制限は無し。
・弊社サーバからの自動の診断。高額な診断ツールの購入は不要。
・ユーザ管理画面から好きな時に好きなタイミングで利用可能。
・ユーザ管理画面での診断結果確認の他、PDFダウンロードによるレポート取得

■ Security Blanket 365 (セキュリティ ブランケット 365)
・弊社サーバからの自動に診断する年間ライセンス。定期的に診断することが可能。

[ネットワーク脆弱性診断]
■ Security Blanket ネットワーク診断
・外部に公開しているネットワークや内部のネットワークに対しセキュリティ上の問題がないか検査。
・診断のレポートを提出

WEBアプリケーション診断項目一覧

調査項目 具体例 手動
診断
ツール
診断
認証 ログイン パスワードが画面表示されているか ×
    総当り攻撃対策の有無 ×
    暗号化処理が適切に実施されているか ×
    自動ログイン処理に不備がないか ×
    認証回避が可能か ×
    認証失敗を利用して存在するIDが判明しないか ×
  その他 管理者がユーザーのアカウント情報が閲覧可能か ×
セッション管理 Cookieの取り扱い Secure属性の指定が適切か
    HttpOnly属性の指定があるか
    Pathの指定が適切化か ×
    有効期限が長いCookieを発行しているか
    Cookieに不適切な値を保持していないか ×
  セッションID 推測が容易なセッションIDを使用しているか ×
    ユーザ側でセッションIDの指定が可能か ×
    セッションIDの偽造を不正と処理しているか ×
    異なるブラウザからセッションIDが送信された場合、不正と処理しているか ×
    ログイン前、ログイン後でセッションIDを変更しているか
    セッションの有効期限、破棄が適切か ×
    ログアウト機能が存在するか ×
  クロスサイトリクエストフォージェリ ユーザが意図しないデータ登録、更新が実施されるか
入出力処理 SQLインジェクション SQL文字列の入力を適切に処理しているか
  クロスサイトスクリプティング タグ文字列の入力を適切に処理しているか
  ディレクトリトラバーサル ディレクトリ指定文字列の入力を適切に処理しているか
  コマンドインジェクション コマンド文字列の入力を適切に処理しているか
  ヘッダーインジェクション レスポンスヘッダーにセットされる入力を適切に処理しているか
  リンクインジェクション 任意リンクの埋め込みに利用される入力を適切に処理しているか
  パラメータ推測 各パラメータに推測可能なものがないか ×
  バッファオーバーフロー サイズが大きい入力を適切に処理しているか
  HTTPレスポンス分割 HTTPのレスポンスに不正な改行が入らないか
  リクエスト改竄 値変更による他ユーザ情報の開示 ×
    ECサイト等でリクエスト改竄による重要情報(金額など)改竄 ×
  その他 特殊文字のエスケープ漏れがないか
    内部エラー(500 インターナルサーバエラー)が発生しているか
画面遷移 重要の更新 重要情報の更新時に確認メールを送信しているか ×
  重要の更新 重要情報の更新前に再認証を実施しているか ×
  権限昇格 他ユーザの情報が閲覧、変更可能か ×
ユーザ管理 履歴 ログイン履歴表示が存在するか ×
    利用履歴の表示機能が存在するか ×
  アカウント作成 アカウント作成時は仮パスワードを発行し、ユーザに変更させているか ×
  パスワード 利用者が任意のタイミングでパスワードの変更が可能か ×
    パスワード変更処理時に現在のパスワードが必須になっているか ×
    パスワードに有効期限が存在するか ×
    パスワードの世代管理を行っているか ×
    パスワードが利用者以外に閲覧可能か ×
    複雑なパスワードを強制しているか ×
    パスワードが画面やHTMLソースで確認可能か ×
    パスワード再発行で画面、メール等にパスワードを記載しているか ×
    パスワードリマインダの不備 ×
暗号 通信の暗号化 サーバ証明書エラーが発生しないか ×
    パスワードやクレジットカード番号といった重要情報を暗号化通信で送信しているか ×
    証明書がサービス提供者のものになっているか ×
    強度が低い暗号方式を許容していないか ×
ロジック流出 バッグドアとデバッグオプション 開発用のデバッグ情報が表示されているか ×
    開発用のバッグドアが無効になっているか ×
  エラー処理 エラー発生時にプログラムのロジックやソースを表示しているか
    エラー画面にバージョン情報が表示されているか ×
    カスタムエラーページが適切に設定されているか ×
  情報公開 平文に変換可能な暗号化方式によって暗号化されている情報があるか ×
    データベースのレコードやカラム名を連想させる情報を公開しているか ×
    サービス提供に不要な情報が公開されていないか
  コメント 個人情報や開発会社、ソースコードなどの情報が記載されているか
メール スパムメール メールの送信先が固定か ×
    メールの送信は同時に1通のみ許可しているか ×
    メール本文内に任意の入力文字列が記述可能か ×
    送信元の改竄が可能か ×
    処理フローを無視して送信可能か ×
画面設計 不適切な画面設計 アドレスバーを表示しているか ×
    ステータスバーを表示しているか ×
    右クリックを禁止していないか ×
  ユーザへの説明 ユーザへの説明無しに別ドメインへ遷移しているか ×
    プライバシーポリシー(サイトポリシー)を明示しているか ×
    個人情報の取り扱い方はあっているか ×
    WebBugを使用しているか、使用している場合は適切な説明があるか ×
一般的な脆弱性 既知のソフトウェア脆弱性 脆弱性のあるバージョンのWebアプリケーションを使用しているか ×
  強制ブラウジング 推測が容易なディレクトリ、ファイルがあるか
    システム管理ツールのWebインターフェースが公開されているか
  ディレクトリリスティング ファイル一覧が取得可能なディレクトリがあるか
  ファイルダウンロード・アップロードの問題 他ユーザがアップロードしたファイルのダウンロード ×
    ファイルアップロードによるインジェクション攻撃 ×
Webサーバ設定 システム情報の開示 レスポンスヘッダにバージョン情報が記載されているか
  サーバエラーメッセージ デフォルトのサーバエラーメッセージが表示されているか

診断レポート

[診断レポート (手動)]
弊社基準により、セキュリティ重大度を6段階で表示します。
問題となる箇所の説明や再現手順を細かく記載しますのでより確実な対策が実施可能です。

[診断レポート (自動)]
web画面によりダウンロード可能で、重大度別件数やカテゴリ別件数検出カテゴリ詳細情報などで、該当箇所を確認できます。


診断の選び方とタイミング

[自動診断]
・新規開発したのでリリース時の診断をしたい
・リリース前に急いでチェックしたい
・年間を通して診断を実施したい

[自動診断+手動診断]
・一部機能を修正してリリースしたい
・多くのサイトを運用しているので全体を診断したい
・定期的に診断をしたい


価格

[自動診断]
■ セキュリティ診断 ワンショット(1回)タイプ
¥198,000[税抜]
・診断回数:1回
・診断対象:webアプリケーション診断は1サイト、ネットワーク診断は、5IPを含む


■ セキュリティ診断 年間タイプ
¥498,000[税抜]
・診断回数:ご契約期間内は無制限
・診断対象:webアプリケーション診断は1サイト、ネットワーク診断は、5IPを含む


[手動診断]
・お客様のwebページや数や構成により別途お見積りします。

本サービスである「セキュリティ診断サービス」は、株式会社ケイティケイソリューションズ(KtK Solutions.inc)の提供です。





ページトップ・メニューへ