セキュリティ対策のセキュアヴェイル

疑似アタックでWebサイトのセキュリティリスクを✔
アプリケーションからインフラまで網羅した総合診断

セキュリティ脆弱性診断サービス

セキュリティ脆弱性診断とは?

セキュアヴェイルのセキュリティ脆弱性診断は、経験豊富なセキュリティエンジニアが、お客様のWebサイトを構成するアプリケーション、サーバー、ネットワーク機器などに対して、疑似アタックによる検査を行い、セキュリティリスクを検出し、診断結果に基づき適切な対策をご案内するサービスです。

実績豊富な診断ツールとエンジニアの経験に基づく疑似攻撃のハイブリッド診断で、正確性の高い診断結果を導くだけでなく、診断を受けて修正した個所は無償で再診断が可能。お客様のWebサイトのセキュリティ維持を万全の体制で支援します。

セキュリティ脆弱性診断とは?

被害者にも加害者にもならないための、Webサイトの健康診断

日々進化するサイバー攻撃の脅威に晒されているWebサイトは、定期的なメンテナンスを怠ると攻撃者の格好の餌食となり、自社が被害を受けるばかりか、加害者となってWebサイトの訪問者にも被害を与えてしまいます。

定期的な診断で潜在リスクを発見し、経営へのインパクトに照らして適切な対策を行なうことで、Webサイトをサイバー攻撃から保護します。

セキュリティリスクの把握
セキュリティリスクの把握

セキュリティリスクの有無と脆弱性レベルを把握し、効果的な予算配分で適切な対策を。

セキュリティサイクルの実現
セキュリティサイクルの実現

日々進化するサイバー攻撃からの保護には、定期的な診断と対策が必要不可欠。

サービス概要

多くのユーザーの目に直接触れるWebアプリケーションと、攻撃者に密やかに標的にされるサーバーやゲートウェイ機器等のプラットフォーム、両面から診断を実施し、総合的にリスクを把握します。

サービス概要

Webサーバー上で稼動するアプリケーションに対し、経験豊かなセキュリティ技術者が外部から擬似攻撃を行い、未処置の脆弱性や潜在リスクを診断します。

Webサイトの機密情報漏洩、なりすまし、ECサイトの価格改ざん、フィッシング等の被害の危険性を洗い出すことができます。

サービス概要

Webサーバー上で稼動するアプリケーションに対し、経験豊かなセキュリティ技術者が外部から擬似攻撃を行い、未処置の脆弱性や潜在リスクを診断します。

Webサイトの機密情報漏洩、なりすまし、ECサイトの価格改ざん、フィッシング等の被害の危険性を洗い出すことができます。

診断方法

お客様環境にリモート接続して疑似アタックを実施。脆弱性の有無とその危険性レベルをチェックします。
誤検知や過剰検出を最小化するため、診断ツールによる自動チェック+スキルの高いエンジニアによる手動チェックのハイブリッド診断で、信頼性の高い診断結果を提供します。
お客様のご要望に応じてオンサイトによる診断の実施も可能です。

診断方法

診断レポート

脆弱性の有無やレベルだけではなく、具体的な対処方法までも含め、実際に技術者の方が改善対応に繋げやすい内容をご報告します。

診断レポート

主な診断項目

代表的なセキュリティ団体・組織が掲げる診断項目や最新の技術動向を加味した診断内容を提供します。

Webアプリケーション診断

  • SQLインジェクション
  • OS コマンドインジェクション
  • パラメータ操作による脆弱性
  • クロスサイトスクリプティング
  • セキュア属性のない Cookie
  • 不要なエラーコードの表示
  • バッファーオーバーフロー
  • クロスサイトリクエストフォージェリー
  • セッション管理に関する問題
  • プロトコルの不適切な適用
  • 不要なエラーメッセージの表示
  • HTML5のクロスオリジン設定に関する問題
  • HTML5のレスポンスヘッダに関する問題
  • Sandbox 属性のないインラインフレーム
  • Webサーバ設定ミスによるサーバ情報、アプリ情報の漏えい
  • Webサーバのディレクトリやファイルの不適切な公開設定
    Webサーバの既知の脆弱性

プラットフォーム診断

  • バックドアが仕掛けられているかどうかのチェック
  • 危険なCGIの検出。クロスサイトスクリプトの可能性
  • DNS、メールサーバに関する脆弱性チェック
  • データベースに関する脆弱性チェック
  • Unixのデフォルトアカウントのチェック
  • DoSを受け付けてしまう弱点の検査
  • FTPに関する脆弱性チェック
  • Firewallに関する脆弱性チェック
  • リモートからシェルが奪取できる可能性をチェック
  • 他のカテゴリには含まれない脆弱性をチェック
  • 一般的には使われていないソフトや機器のチェック
  • P2Pのファイル共有に関する脆弱性チェック
  • RPCに関する脆弱性をチェック
  • 特定のポートで稼働しているソフトのタイプを識別
  • ウェブサーバに関する脆弱性チェック
  • Windowsに関する脆弱性をチェック
  • Windowsのユーザ管理に関する脆弱性をチェック

選ばれる理由

  • 診断ツール+エンジニア手作業のハイブリット診断

    セキュリティ脆弱性診断にはツール診断と手動診断という区別がありますが、弊社ではそれぞれの長所の組み合わせたハイブリットな手法を採用しています。
    診断ツールは実績の豊富な製品を採用し最新の技術動向・攻撃手法を加味した形でWASCやOWSAPといった代表的なセキュリティ団体が掲げる脆弱性項目をカバーします。

    診断ツール+エンジニア手作業のハイブリット診断
  • 高水準のサービス基準要件をクリア

    弊社のセキュリティ脆弱性診断サービスは、一定の技術要件および品質管理要件を満たした内容で、CEH(認定ホワイトハッカー)、CND(認定ネットワークディ フェンダー)を中心とする専門技術者が対応します。
    安心してご利用いただける、コストパフォーマンスに優れた診断サー ビスです。

    高水準のサービス基準要件をクリア
  • 高品質な診断レポート

    脆弱性の有無やリスクレベルといった結果だけでなく、対処方法まできちんと記載した、具体的な改善対応に繋げることができるレポートを提出します。
    一般的に診断ツールのみの診断では誤検知や検知漏れが発生しますが、弊社ではセキュリティエンジニアが診断結果を評価することで誤検知や検出漏れを最小化し、信頼性の高いレポートを作成します。

    高品質な診断レポート
  • SOCによるアフターフォロー

    診断後の質疑応答への対応は当然ながら、SOCサービスに従事するセキュリティエンジニアが、修正方法のアドバイスやセキュリティ製品の導入を支援することが可能です。
    セキュリティ脆弱性診断に留まらないアフターフォロー体制が整っています。

    SOCによるアフターフォロー

信頼の実績

官公庁などの公共系の実績はもちろん、文教、運輸、ECサイトなど様々な業種で採用されています。大手SIベンダー、セキュリティベンダーへのOEM提供の実績も豊富です。

提供実績の一部

  • 官公庁電子申請システム

    官公庁電子申請システム

  • 電子書大手出版社籍サイト

    電子書大手出版社籍サイト

  • 航空会社/顧客向けECサイト

    航空会社
    顧客向けECサイト

  • 国立大学/受験・入学手続きシステム

    国立大学
    受験・入学手続きシステム

  • クレジットカード会社/会員サイト含む公開サイト

    クレジットカード会社
    会員サイト含む公開サイト/
    社内インフラ
    ※PCIDSS準拠

  • 社会インフラ企業/IoT危機管理システム

    社会インフラ企業
    IoT危機管理システム

サービス提供の流れ

お客様のシステム環境や業務事情を勘案し、最もお客様に負荷がかからず効率的な検査ができるようセキュリティ計画を立案し、実行します。

Step.1

ヒアリング

  • ・対象機器情報
  • ・実施期間
  • ・システム環境情報 など

Step.2

プランニング

お客様に最も負担がかからず
効率的な検査が
できるよう
プランニング

Step.3

診断

  • ・ベネトレーション
  • ・ホスト検査
  • ・Webアプリケーション検査

Step.4

レポート

  • ・診断結果報告書
  • ・解決方法提案