全体網羅型のWEBアプリケーション脆弱性診断サービス

WEB脆弱性診断はWEBアプリケーションやAPIプラットフォーム、モバイルアプリケーション等に対しての「全体網羅型」のセキュリティ診断で、スピードを重視して脆弱性診断スキャナでの診断後、出力された結果を手動で確認作業を行います。

WEBアプリケーションセキュリティの世界で世界的に評価の高いOWASPのセキュリティ基準OWASP ASVSを元に診断し、基準を満たしている際には報告書と共に証明書を発行いたします。

フルスタック脆弱性診断

WEBアプリケーションのみでは不十分であり、サーバープラットフォームの診断を行わなくては意味がありません。弊社ではサーバープラットフォーム診断も２IPアドレスまでに限り脆弱性診断料金に含めております。

修正コンサルティングから修正後の再テストまで実行

報告書を提出しただけではお客様のセキュリティは何も向上しません。弊社の脆弱性診断サービスは発見された脆弱性の対策実施支援から修正後の再テストまで実施いたします。

OWASP ASVS 4.0準拠の証明書を発行

WEBアプリケーション脆弱性診断にてOWASP ASVS 4.0準拠が確認された際には報告書と共にOWASP ASVS 各レベル(Level1~3)準拠を証明する証明書を発行いたします。第三者による脆弱性診断を実施し一定の基準を満たしている証明としてご利用ください。

※OWASP ASVSはOWASP Foundationから直接の証明・保証は認められておりません。したがって第三者によるテスト結果証明となり、テクニカルな詳細を記述した報告書を添えての証明となります。

料金

80万円＋税/ドメイン

• 画面遷移30リクエストまで
• WEBサーバーに対するネットワーク診断２×IPアドレスを含む
• 5リクエスト増えるごとに10万円追加
• 報告書作成費用、報告会、修正に関するテクニカルコンサルティング、再テストを含む

スコープ決定のための事前調査も行います

限られたご予算の中でどこをスコープとするべきか、手動診断を重視するパート/自動診断メインで実行するパートを攻撃者の視点で決定するプロセスです。セールス担当によるスコープ決定は行いません。診断を担当するホワイトハッカーによる調査を行います。

10万円＋税/回

• １~２時間程度の開発者様とのディスカッション
• 仕様書や設計書等のドキュメントの閲覧
• 実際のアプリケーションを操作しての確認

各種基準や要件に準拠した脆弱性診断

• OWASP ASVS 4.0
• PCI DSS Vulnerability Scanning Requirement

など

対象となるお客様

• 社会的信用の高い基準を元に第三者による脆弱性診断を実施し、一定の基準を満たしていることを証明したいお客様
• 受託開発業者様でクライアント様からオンラインサービスに対しての脆弱性診断を求められたお客様
• 自社展開のサービスにおいて安全性を確認したいお客様

対象システム

• WEBアプリケーション
• モバイルアプリケーション
• APIプラットフォーム

など

検査手法（プラットフォーム）

• OSINT
• ポートスキャン　（TCP/UDP 0-65535）
• OSバージョンスキャン (外部開放ポートのみ)
• サービスバージョンスキャン（外部開放ポートのみ）
• 複数の脆弱性診断ツールによる脆弱性スキャン
• オープンポートへのデフォルト認証テスト
•  発見された脆弱性についての手動確認
• 暗号化方式やサイファーの調査
• デフォルトパスワードやパスワードリストによるログイン試行テスト
• 発見された脆弱性のCVE等データベースの照会及び攻撃難易度調査
• PCI DSS v3.2 11.2準拠の脆弱性診断

など

検査手法（WEBアプリケーション）

• OSINT
• Nikto、ZAP、Burp、NSE、Metasploit等複数の脆弱性ディスカバリツールでのスキャン
• Proxyを使用した各パラメータ及びヘッダー項目への手動テスト
• 意図せず漏洩している情報の有無
• 権限の昇格や非認証ユーザーによるログインやセッションバイパス
• 秘匿ページの採集及び悪用可否調査
• OWASP ASVS 4.0に則ったセキュリティ要件確保状況調査
• IPA発行「安全なWEBサイトの作り方」に則ったセキュリティ要件確保状況調査
• PCI DSS v3.2 6.5準拠の脆弱性診断

など

脆弱性診断のご提供形態

リモート、オンサイトどちらでも対応いたします。

脆弱性診断にかかる日数

打ち合わせから診断、レポート提出まで最短で５営業日です。

脆弱性診断の報告書

---

お問い合わせ