Webアプリケーション診断サービス

OWASP Top 10やASVSに基づき、Webアプリケーションの脆弱性を可視化

Webアプリケーション診断サービスは、OWASP Top 10 や ASVSに基づいて脆弱性を網羅的に可視化し安全なWebサービス運用を実現します

ツール+手動診断

ツール+手動診断

自動化ツールによる診断と、
セキュリティエンジニアによる
手動診断を組み合わせ
高品質な診断を実現

国際基準に準拠

国際基準に準拠

OWASP Top 10やASVSを
はじめとする国際基準に
基づいた網羅的な診断

高品質・低価格・短納期

高品質・低価格・短納期

標準化された診断手法により、
高品質・低価格・短納期で
Webアプリケーションの
脆弱性を可視化

専門家による手動診断で、Webアプリケーションの脆弱性を確認

Webアプリケーションの脆弱性を可視化し、改善に向けた対応方針まで支援

Webアプリケーションの脆弱性は、情報漏えいや不正アクセスなどのセキュリティインシデントにつながる可能性があります。一方で、自動診断ツールだけでは、認証機能やアクセス制御の不備、業務ロジックに起因する脆弱性などを十分に確認できない場合があります。

本サービスでは、さまざまな言語で開発されたWebアプリケーションを対象に、ツール診断と専門家による手動診断を組み合わせて脆弱性の有無を確認します。自動診断だけでは検出が難しい脆弱性についても確認し、Webアプリケーションに潜在するリスクを可視化します。

診断結果はレポートとして取りまとめ、検出された脆弱性の内容や影響度、推奨される対応方法を整理してご報告します。

Webアプリケーション診断サービスではこのようなお悩みを解決します

不正アクセスやサイバー攻撃につながる
リスクがないか不安

 

診断結果を通じて、優先的に対応すべき脆弱性や設定不備を把握できます。

どのWebアプリケーション診断を受けるべきかわからない

 

診断対象や確認したい内容に応じて、自組織に適した 診断内容を選定できます。

ツールによる診断だけで十分なのか不安

 

手動診断を含む診断結果から、自動診断だけでは 発見が難しい脆弱性の有無を確認できます。

診断結果をもとに適切な対応ができるか不安

 

レポートを通じて、脆弱性の内容や影響度、
推奨される対応方法を確認できます。

Webアプリケーション診断サービスの診断項目

認証・セッション管理

認証・セッション管理

ログイン、パスワード、
セッション管理の不備

SQLインジェクション

SQLインジェクション

不正なSQL実行による
情報漏洩や、改ざんリスク

XSS(クロスサイトスクリプティング)

XSS(クロスサイトスクリプティング)

不正スクリプトの挿入による
情報漏洩や改ざんリスク

  CSRF(クロスサイトリクエストフォージェリ―)

CSRF(クロスサイトリクエストフォージェリ―)

利用者の意図しない
操作実行リスクを確認

アクセス制御

アクセス制御

権限を越えた画面・機能・データの
アクセス可否

その他の脆弱性

その他の脆弱性

HTTPヘッダやエラー制御
ファイル操作など

本診断では、さまざまな言語で開発されたWebアプリケーションを対象に、OWASP Top 10やASVSなどの国際基準を踏まえて、セキュリティリスクを確認します。

リクエスト単位での動的解析と専門家による手動診断を組み合わせ、認証機能やアクセス制御の不備、業務ロジックに起因する脆弱性などを確認します。診断結果はレポートとして取りまとめ、検出された脆弱性の内容や影響度、推奨される対応方法を整理してご報告します。

優先順位の高い項目から診断

優先順位の高い項目から診断

同じWebサイト内でも、機能によって扱う情報や操作内容は異なり、脆弱性が悪用された場合の影響度にも差があります。たとえば、認証機能や重要情報を扱う機能、情報更新を伴う機能では、不正アクセスや情報漏えいにつながるリスクが高くなる可能性があります。

そのため、Webアプリケーション診断では、すべての画面や機能を同じ優先度で確認するのではなく、リスクや影響度の高い機能を優先して診断することが重要です。診断対象の優先順位を整理することで、限られた診断範囲の中でも、重要度の高い機能を中心にリスクを把握し、対策検討に活用できます。

Webアプリケーション診断サービスの流れ

診断開始から2~3週間程度で、レポートをご提出します。
※診断に必要な日数は、診断対象の範囲により変動します。

Layer 1 ヒアリング 診断計画・設計 診断実施 分析・評価 レポートご提出 再診断・報告会 (オプション) 診断内容や 診断対象、ご要望を お伺いします 診断方針、対象範囲、 条件等を確認します 計画をもとに 対象範囲内で 診断を行います OWASP Top 10、 ASVS基準で評価し、 リスクを分析します レポートをご提出し、 診断結果を ご提示します オプションで 再診断や報告会を 実施します 初回ヒアリング 診断期間 1~2週間程度 診断後1営業日で 報告書を納品

基本プラン

ASVS(Application Security Verification Standard) OWASPが公開しているWebアプリケーション/APIのセキュリティ要件・検証基準 検査基準 分離された本番環境 診断対象 ECサイト 個人情報を保持するWebサイト 推奨対象 診断後の改修後に再診断し改善を確認 再診断 オプション 技術者によるオンライン報告会を実施 報告会

基本プラン以外の内容をご希望の場合は、個別にお問い合わせください。

Webアプリケーションの見えないリスク、可視化してみませんか?