Webアプリケーションセキュリティ診断

内容

一般的に、Webアプリケーションは、開発を担当する会社や個人によって作り方が異なるため、内在する脆弱性もさまざまです。そのため、市販の脆弱性診断ツールで診断を行っていても、脆弱性を見落としてしまう可能性があります。脆弱性をもれなく発見するためには、個々のWebアプリケーションの仕組みや特性を考慮したきめ細かな診断が必要です。

ベルウクリエイティブは、一般的なWebアプリケーションの脆弱性として知られる「SQLインジェクション」や「クロスサイトスクリプティング」などはもちろんのこと、弊社独自の技術を活用し、システム停止や情報漏えい、データ改ざん、不正アクセス、認証回避などにつながる脆弱性を徹底的に洗い出します。

脆弱性を放置することは、情報漏洩により自社が被害者になるだけでなく、他サイト攻撃のための踏み台にされ知らぬ間に加害者になる場合もあります。

診断詳細

◆個人情報や機密情報に対して適切なセキュリティ保護策が講じられているか診断

◆内在する情報セキュリティ上の問題（脆弱性：XSS、SQLインジェクション、CSRF、オープンリダイレクト、コマンドインジェクション、認証機能の不備、アプリケーションロジックなど）をネットワーク経由で診断​

◆検査後は、セキュリティエンジニアによる報告会を実施。検査結果をお伝えし、今後の対応策をご提案させていただきます。
また、検出されたセキュリティ問題とその影響、改善提言についてレポーティングします。

PCI DSS、CIS、NISTなどのセキュリティ基準にも対応します。

【各種セキュリティ指標に対応】
クレジットカード業界のセキュリティ標準であるPCI DSSで参照されている「OWASP Top 10」に含まれる脆弱性を診断対象とするなど、各種セキュリティ指標にも対応しています。

※ OWASPは、Webアプリケーションのセキュリティ向上を目的とした米国の団体で、調査や開発の成果物を誰でも利用できるように公開しています。「OWASP Top Ten Project」では、Webアプリケーションの脆弱性トップ10を掲載。

診断メニューは、ツールベースの診断とツールとマニュアルによる診断の2種類です。また、診断用PCの発信元により、リモートとオンサイトの診断方法があります。

お客様は、Webアプリケーション診断の結果に基づいて対策を施すことにより、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害の発生を未然に防ぐことができます。一般的に、Webアプリケーション診断の手法として、(1)診断ツール、(2)専門家の手動、(3)両者の併用、の3つがあります。診断ツールは効率の面で優れている半面、脆弱性の見逃しや誤検出が発生する場合があるためベルウクリエイティブでは、診断ツールと手動を組み合わせたきめ細かな診断を実施しています。

Webアプリケーション診断対象

※下記は一例ですので、対象サイトについてはお気軽にご相談ください。

• 会員向けサイト
• ショッピングサイト
• アンケートサイト
• 予約システム
• オンラインバンキング
• ネットトレーディング
• 検索機能を有する各種情報提供サイト
• 社内向け業務管理サイト
• スマートフォン・モバイル向けサイト
• ブログ
• SNS
• イーラーニング
• Web API

市販のツールを用いた診断や、自社内での診断を実施されている場合でも、熟練した専門家の視点で診断を実施することをおすすめしています。

メリット

1.セキュリティエンジニアの的確な診断により、セキュリティ対策の期間とコストを最適化

2.個人情報漏洩やそれに伴う損害賠償等のリスクを軽減

3.独立した第三者による診断で、客観的に問題が指摘され、外部監査の報告としても有効

発見できるセキュリティリスク

• 他人になりすまして不正にシステムにログインすることが可能か
• 個人情報や機密情報などの重要データを取得可能か
• 管理者権限を取得することが可能か
• データベースに不正にアクセスすることが可能か
• アクセス制御されているリソースに不正にアクセスすることが可能か etc

 

主なスキャン項目

オプション

サービスフロー