診断実績1500社以上!
セキュリティ脆弱性診断サービス
・高品質で低価格なセキュリティ脆弱性診断をご提供
・資格を持ったセキュリティエンジニア多数在籍
・高品質なツールを使い、高水準かつ網羅性の高い
セキュリティ項目を診断します
こんなお悩み
ありませんか?
脆弱性診断サービスは
どう選べばよいのかわからない。
脆弱性診断・セキュリティチェックをしたいけど、どの診断サービスが良いのか判断するのは大変。そんなお悩みありませんか?
よくあるお悩み
・予算に限りがあり診断の費用を抑えたい
・資格を持ったプロに見てもらいたい
・診断結果内容をもとに改善できるか不安
脆弱性診断のお悩みは当社にお任せください!
専任スタッフによる
効率的な脆弱性診断
当社の脆弱性診断サービスは、経験豊富な専任スタッフが効率よく診断することで低価格の費用感を実現。
・低予算で高品質な脆弱性診断
・他社と相見積もりでお比べください
経産省の審査認証事業者で
資格保持者が多数在籍
当社サービスは経産省「情報セキュリティサービス基準」登録事業社として審査認証いただき、一定の技術要件及び品質管理要件を満たしたサービス提供を行い、脆弱性診断士の資格保持者が多数在籍しているため、安定したサービスで高い評価を得ております。
・経産省が公表している基準をクリア
診断内容だけでなく
対処方法まで提案します
報告は脆弱性の有無だけでなく、具体的な対処方法など改善へ繋がる報告書を提出いたします。また資格を保持しているエンジニアがチェックを行った診断結果を評価・確認したレポートを提出いたします。
・精度の高い報告書を提出
・改善方法もご提案
サービス概要
セキュリティ脆弱性診断サービスとは、Webアプリケーションやネットワーク内に、システムを設計・開発するなかで発生したセキュリティ上の欠陥(バグ)がないかを診断、またはセキュリティチェックをする診断サービスです。
攻撃者はシステムにおける「脆弱性」を狙って攻撃を仕掛けます。攻撃者の視点に立って、「脆弱性」を狙った攻撃が成功する可能性がないかを検証して洗い出し、攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぐことができます。
Webアプリケーション診断
経験豊かなセキュリティ技術者がWebサーバ上で稼動するアプリケーションに対し、 外部から擬似攻撃を行い、Web アプリケーションに潜む脆弱性や潜在要因を診断します。
診断ツールは純国産のもので、日本語(マルチバイト文字)への完全対応はもちろんのこと、日本国内におけるセキュリティの最新トレンドを組み込んだ脆弱性診断・セキュリティチェックを行います。
Webサイトの機密情報漏洩、なりすまし、ネットショップの価格改ざん、フィッシング等々の被害の危険性を脆弱性診断で洗い出すことができます。
プラットフォーム診断
お客様のシステムを構成するサーバやファイアウォール等のネットワーク機器に対して、OSやアプリケーションに潜むセキュリティホール(弱点・脆弱性)が存在しないかどうかをネットワーク経由にて診断し、対応策を提示します。
日々SOCを運営しているノウハウをベースにした高度なスキルを持つセキュリティエンジニアが診断を行うことでツール診断に散見する誤検知を省きながら、網羅性と正確性の高い診断・セキュリティチェックを行います。
不正アクセスやセキュリティ事故を拡大させる踏み台になってしまう等の危険性を脆弱性診断で洗い出すことができます。
診断方法
お客様の環境にリモート接続をさせていただき、疑似アタックを実施し、脆弱性の有無とその危険性レベルをセキュリティチェック! (オプションでオンサイト診断も可能ですので、ご相談ください。) 誤検知・過剰検出の多いツール診断のみのサービスとは違い、当社セキュリティエンジニアによって検出結果の確認・検証を実施することで 検知漏れや誤検出を最小化し、信頼性の高い診断結果を提供します。
[参考資料]
|
|---|
当社サービスの特徴
経産省「情報セキュリティサービス基準」登録事業
経産省は「情報セキュリティサービス基準」を策定しております。 この「情報セキュリティサービス基準」は、一定の技術要件及び品質管理要件を満たし、品質の維持・向上に努めているかが審査されています。
網羅性の高い診断項目
脆弱性診断で使用する診断ツールは実績の豊富な高品質なものを使用し、最新の技術動向・攻撃手法を加味した形でWASCやOWASPといった代表的なセキュリティ団体が掲げる網羅性の高い脆弱性項目もカバーしています。
高品質な脆弱性診断レポート
脆弱性の有無やリスクレベルなどの診断結果だけでなく、対策案としてもお役立ていただける報告書を提出いたします。
認定脆弱性診断士の
資格保持者による診断対応
当社の脆弱性診断サービスは、認定脆弱性診断士(セキュリスト)の資格保有者が多数在籍しており、診断に必要な技術水準を達しておりますので、安心してご利用いただけます。
今なら初回診断後の再診断が1回無料!
実績・事例
コーポレートサイト・ECサイト診断事例Webアプリケーション診断
| 業種 |
|---|
| ・某自治体 ・某航空会社 ・大手出版社 ・社会インフラ会社 ・大手小売業(上場企業) 他 |
| 対象 |
| コーポレートサイト・ECサイト・キャンペーンWebサイト・サービス紹介サイト |
社内及び公開ネットワーク内の診断事例プラットフォーム診断
| 業種 |
|---|
| ・大手地図情報会社 ・コンサルティングファーム ・医療シンクタンク会社 ・製造業 ・クレジットカード会社 他 |
| 対象 |
| 社内ネットワーク及び公開ネットワーク |
WebAPIへの診断事例Webアプリケーション診断
| 業種 |
|---|
| ・某国立・私立大学(複数) ・大手住宅設備機器メーカー ・リクルーティングサービス 他 |
| 対象 |
| WebAPI |
管理システムへの診断事例Webアプリケーション診断
| 業種 |
|---|
| ・大手総合専門学校 ・大手機器製造会社 ・大手システムインテグレータ(上場企業) ・ソフトウェア開発会社 ・通信回線会社グループ 他 |
| 対象 |
| 各種サービス提供・自社管理している管理システム |
PCI DSS準拠のネットワーク、及び社内システムへの診断事例
Webアプリケーション診断プラットフォーム診断
| 業種 |
|---|
| クレジットカード会社(複数) |
| 対象 |
| PCI DSS準拠の社内ネットワーク、 社内システムおよび公開サイト(会員サイト含む) |
サービスの流れ
STEP1
ヒアリング
現状の状況や環境を把握するのに必要な情報を、ヒアリングさせていただきます。 具体的にはヒアリングシートのご入力、またはお打ち合わせ等により内容を確認させていただいたうえで、適切な対応方法や診断(セキュリティ診断)範囲を検討して費用を御見積りいたします。
- 対象機器情報
- 診断実施期間
- システム環境状況 等
STEP2
脆弱性診断実施
ヒアリングした内容をもとに、診断対象に対して脆弱性の調査を実施いたします。脆弱性診断の作業を実施する際は、都度進捗を連絡しながら対応いたします。万が一リスクの高い脆弱性を検出した際は、速報でご報告しております。
- ペネトレーションテスト
- ホスト検査
- Webアプリケーション診断
- プラットフォーム診断 等
STEP3
脆弱性診断結果のレポート報告
検出した脆弱性の分析結果の報告と影響範囲は対策方法についてご説明させていただき、優先度順位付けや解決策の提案をします。
- 診断結果報告
- 解決方法提案
- 再診断・報告会が必要な際は対応させていただきます
サービス費用
サービス費用は対応内容により変動いたしますので、ヒアリングした後に提示させていただきます。 当社の脆弱性診断サービスは、経験豊富な専任スタッフが効率よく診断することで、リーズナブルな費用感の価格を実現。 ご予算に合わせて低価格、安い費用感をお求めの方も、まずはお気軽にお問い合わせください。
脆弱性診断に関する参考ガイド
最近はホームページの改ざんやクレジットカード情報の漏えいといったセキュリティ被害のニュースを目にする機会も比較的増えてきていると思いますが、それらの多くの割合を占めるのがWebアプリケーションの脆弱性を突いたサイバー攻撃です。
Webアプリケーションのサイバー攻撃の中には従来のセキュリティ対策では防げないものも数多く、新たな対策を講じなければいけないケースが数多くあります。
そのため、Webアプリケーションの脆弱性をいかに無くしていくかが非常に重要とされてきており、そのための第一歩としてニーズが高まってきているのがWebアプリケーション診断です。近年ではWebサイトを受託開発する際にはWebアプリケーション診断を実施することが要件になってケースも増えてきています。
Webアプリケーション診断は、Webアプリケーションの脆弱性の有無・程度を測ることが可能で、セキュリティ被害のリスクの把握や脆弱性に対して事前対策を講じることができ、結果的にセキュリティ被害の防止や被害軽減に繋げられます。
Webアプリケーション診断は、無償のツールや費用が安価なツールを使ったサービスも存在していますが、使い方が難しかったり、診断結果がよく理解できない、といったこともありますので、一度は専門家による診断を受けることをお勧めします。
通常、外部からの攻撃者は大まかには次のような流れで攻撃を行います。
・「ターゲットの選定」
・「調査」
・「侵入」
・「機密情報の窃取、改ざんなどの攻撃」
まず、攻撃者の目的によって、「ターゲットの選定」フェーズで攻撃の対象を決めます。
次に「調査」フェーズにて、ターゲットの公開サーバ、公開されている情報などから脆弱性な情報等、集められるだけ情報を集めて侵入方法を検討します。
その後は「侵入」フェーズにて攻撃を実行し、目的を果たせるまで内部で情報を探します。
「調査」フェーズで情報を集める方法としては主に、公開サーバにポートスキャンを実施するなどしてターゲットから直接集められる情報と、インターネット上に公開されているドメイン名、会社情報などから間接的に集められる情報があります。
公開サーバから直接集められる情報に該当するのがプラットフォーム診断となります。
プラットフォーム診断の結果見つかった情報をもとに、Webアプリケーションの脆弱性を使用して「侵入」を行ったりするため、攻撃者からの侵入の糸口を少なくするためにも、プラットフォーム診断を行い、脅威となる部分を洗い出し、修正を行う事が必要になります。
サイバー攻撃から自社サービスを守るためには、まず「脆弱性」を見つけることがセキュリティ対策の第一歩となります。そこでよく耳にするのが、「脆弱性診断」と「ペネトレーションテスト」。どちらも企業のセキュリティ対策として実施されるものですが、目的や検査手法、費用感など大きな違いがあります。
あらゆる情報システムに存在するセキュリティに関する問題や、サイバー攻撃に繋がる可能性のある脆弱性を診断して見つけることが目的です。
弊社ではその脆弱性発見の目的を達成するため、WASCやOWASPなどのガイドラインに基づいて、自動診断ツールと診断員の確認による診断手法を組み合わせて、網羅的により多くの脆弱性を見つけるための検査を実施しています。
実施後は、発見された脆弱性のカテゴリや深刻度を「CVSS(共通脆弱性評価システム)」に従って評価し、お客様に報告します。
報告書には、脆弱性と判断した理由や検証内容、脆弱性の解説や推奨される対処方法、その脆弱性からどのような攻撃を受けるリスクがあるか等が記載されており、課題の優先順位の判断材料、次回の診断実施時の比較資料として使用できます。
「ペネトレーションテスト」は「侵入テスト」とも呼ばれ、攻撃者としてのゴールを設定した上で、それが実際に成功するかどうかを検証することが目的です。
脆弱性診断が攻撃のきっかけやヒントとなる脆弱性をより多く見つけるための網羅的な検査を行うのに比べて、ペネトレーションテストではシステムの内部に深く侵入したり、管理者権限の奪取、クラウドサービスから重要なファイルを探し出すなど、あらゆる手法を使って検証を行います。
そのため、診断員個人のスキルに依存する面があり、診断員のスキルや熟練度によっては成果が異なることがあるため、そこがひとつのデメリットでもあります。
「脆弱性診断」は網羅的により多くの脆弱性を探すことが目的で、攻撃をされるリスクを発見するものであり、「ペネトレーションテスト」は実際に攻撃が成功するかどうかで特定の脆弱性や問題点を発見することで攻撃を予防するものです。
自社のセキュリティ対策の第一歩として、まずは実施することを検討してみてはいかがでしょうか。
|
[参考資料]
|
|---|
セキュアイノベーション サービス一覧
