Webアプリケーション脆弱性診断

セキュリティリスクを徹底調査!Webアプリケーションのセキュリティ上の問題点を検出し診断・指摘​​

Webサイトの動的ページに対して、攻撃者の視点から診断作業(様々な疑似攻撃を考察・試行)を実施することで、Webアプリケーションの安全性を徹底的に調査します。​

ベルウクリエイティブの「WEBアプリケーション脆弱性診断サービス」は、経験豊富なセキュリティエンジニアがお客様のWebアプリケーションの潜在的な脆弱性を詳細に検査・検出・わかりやすく報告する診断サービス(脆弱性診断)です。

Webアプリケーションのセキュリティが求められる理由

企業にとって情報セキュリティの担保が企業価値を高める時代。
組織や情報資産とインターネットの関係はますます深いものとなっています。近年、Webアプリケーションの脆弱性(弱点)を狙った攻撃が増加しています。

脆弱性を放置したままWebサイトを公開していると
・データベースに格納された機密情報や個人情報が外部に流出
・サービスを不正に利用される
など企業継続に関わる重大な問題に発展する可能性があります。

Webアプリケーションの脆弱性とは

お客様が作成したWebアプリケーションに内在するプログラム上のバグのことを指します。攻撃者はその脆弱性を突き情報の奪取などの攻撃をします。Webアプリケーションは、お客様のニーズによって様々な機能が実装されており、脆弱性が発見される箇所は多種多様です。使用するプログラミング言語も多々あり、Webアプリケーションの内容もECサイトやゲームアプリ、SNS、バックオフィスなど多岐にわたります。また、CMSを導入しているか否かなどといったことも考慮しなければなりません。

診断内容

一般的に、Webアプリケーションは、開発を担当する会社や個人によって作り方が異なるため、内在する脆弱性も様々です。そのため、市販の脆弱性診断ツールで診断を行っていても、脆弱性を見落としてしまう可能性があります。脆弱性をもれなく発見するためには、個々のWebアプリケーションの仕組みや特性を考慮したきめ細かな診断が必要となります。
こうした状況において、一般的なWebアプリケーションの脆弱性として知られる「SQLインジェクション」や「クロスサイトスクリプティング」などはもちろんのこと、熟練の知識と豊富な経験によって高められた弊社独自の技術を活用し、システム停止や情報漏えい、データ改ざん、不正アクセス、認証回避などにつながる脆弱性を徹底的に洗い出します。

脆弱性を放置することは、重要な情報の漏えいなどにより自社が被害者になるだけでなく、他サイト攻撃のための踏み台にされ知らぬ間に加害者になる場合もあります。闇雲にセキュリティ製品を導入するのは得策ではありません。 まずは、熟練したセキュリティエンジニアによるWebアプリケーション診断(脆弱性診断)を行うことで正確に現状を把握し、適切な対応をとることをおすすめします。

本診断は、Webアプリケーションにおいて不正アクセスやマルウェアなどの被害を未然に防ぐため、内在する脆弱性を明らかにし、適切な対策方法をご提示します。
・個人情報や機密情報に対して適切なセキュリティ保護策が講じられているか診断します。
・内在する情報セキュリティ上の問題(脆弱性:XSS、SQLインジェクション、CSRF、オープンリダイレクト、コマンドインジェクション、認証機能の不備、アプリケーションロジックなど)をネットワーク経由で診断します。​
検査後は、検出されたセキュリティ問題とその影響、そして改善提言についての詳細で分かりやすいレポートを基に弊社のセキュリティエンジニアによる報告会を実施し、検査結果をお伝えし、今後の対応策をご提案させていただきます。

PCI DSS、CIS、NISTなどのセキュリティ基準にも対応します。
【各種セキュリティ指標に対応】

クレジットカード業界のセキュリティ標準であるPCI DSSで参照されている「OWASP Top 10」に含まれる脆弱性を診断対象とするなど、各種セキュリティ指標にも対応しています。
※ OWASPは、Webアプリケーションのセキュリティ向上を目的とした米国の団体で、調査や開発の成果物を誰でも利用できるように公開しています。「OWASP Top Ten Project」では、Webアプリケーションの脆弱性トップ10を掲載。
診断メニューは、ツールベースの診断とツールとマニュアルによる診断の2種類です。また、診断用PCの発信元により、リモートとオンサイトの診断方法があります。

お客様は、Webアプリケーション診断の結果に基づいて対策を施すことにより、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害の発生を未然に防ぐことができます。一般的に、Webアプリケーション診断の手法として、(1)診断ツール、(2)専門家の手動、(3)両者の併用、の3つがあります。診断ツールは効率の面で優れている半面、脆弱性の見逃しや誤検出が発生する場合があるためベルウクリエイティブでは、診断ツールと手動を組み合わせたきめ細かな診断を実施しています。

概要・特長-1

Webアプリケーション診断対象
※下記は一例ですので、対象サイトについてはお気軽にご相談ください。

  • 会員向けサイト
  • ショッピングサイト
  • アンケートサイト
  • 予約システム
  • オンラインバンキング
  • ネットトレーディング
  • 検索機能を有する各種情報提供サイト
  • 社内向け業務管理サイト
  • スマートフォン・モバイル向けサイト
  • ブログ
  • SNS
  • イーラーニング
  • Web API

市販のツールを用いた診断や、自社内での診断を実施されている場合でも、熟練した専門家の視点で診断を実施することをおすすめしています。

特長
1.専門のセキュリティエンジニアによる検査と報告
脆弱性診断に数多くの経験を有するセキュリティエンジニアが、機械的な脆弱性診断ツールではわからないWebサイトの問題を検出します。Webサイトの特徴に応じた対策について、お客様に分かりやすい詳細なレポートをご提供いたします。
2.システム改修後の再診断サービスとサポート
発見された脆弱性については、お客様で実施した改修により問題が解決したか確認するための再診断が可能です(※オプション)。また、報告書の納品後もQAサポートを提供しているため、経験と知識が必要なセキュリティ対策について、技術的な不安を解消しながらセキュリティレベルの向上を図ることが可能です。
3.オンサイト、リモート どちらにも対応可能
Webアプリケーション診断サービスは、通常はリモートにて対象サイトへの診断実施を行いますが、指定場所にご訪問の上、診断実施することも可能です。

診断実施の効果
1.セキュリティエンジニアの的確な診断により、セキュリティ対策の期間とコストを最適化
2.個人情報漏洩やそれに伴う損害賠償等のリスクを軽減
3.独立した第三者による診断で、客観的に問題が指摘され、外部監査の報告としても有効

概要・特長-2

多様な手法で診断を実施することで、次のようなセキュリティリスクを発見することができます。

  • 他人になりすまして不正にシステムにログインすることが可能か
  • 個人情報や機密情報などの重要データを取得可能か
  • 管理者権限を取得することが可能か
  • データベースに不正にアクセスすることが可能か
  • アクセス制御されているリソースに不正にアクセスすることが可能か etc

イメージ図

主なスキャン項目

  • クロスサイトスクリプティング診断
  • SQLインジェクション診断
  • セカンドオーダーアタック
  • 強制ブラウジング
  • エラーコード
  • セキュア属性のないCookie
  • セッション管理に関する問題
  • アクセス制御機構の不備
  • 機能の悪用等
  • サービス妨害
  • 認証関係の不備
  • アプリケーションロジックの不備

オプション

  • IPv6
  • サービス停止攻撃
  • ブルートフォース(認証の耐性)

サービスフロー

CONTACT

お気軽にご相談ください

お電話でのお問い合わせ

03-6206-2066

受付:月曜日から金曜日 9:00~18:00 ※祝祭日除く