セキュリティ脆弱性診断サービス｜アプリケーションからインフラまで網羅

疑似アタックでWebサイトのセキュリティリスクを✔
アプリケーションからインフラまで網羅した総合診断

セキュリティ脆弱性診断サービス

資料請求、各種ご相談はこちら

セキュリティ脆弱性診断とは？

セキュアヴェイルのセキュリティ脆弱性診断は、経験豊富なセキュリティエンジニアが、お客様のWebサイトを構成するアプリケーション、サーバー、ネットワーク機器などに対して、疑似アタックによる検査を行い、セキュリティリスクを検出し、診断結果に基づき適切な対策をご案内するサービスです。

実績豊富な診断ツールとエンジニアの経験に基づく疑似攻撃のハイブリッド診断で、正確性の高い診断結果を導くだけでなく、診断を受けて修正した個所は無償で再診断が可能。お客様のWebサイトのセキュリティ維持を万全の体制で支援します。

被害者にも加害者にもならないための、Webサイトの健康診断

日々進化するサイバー攻撃の脅威に晒されているWebサイトは、定期的なメンテナンスを怠ると攻撃者の格好の餌食となり、自社が被害を受けるばかりか、加害者となってWebサイトの訪問者にも被害を与えてしまいます。

定期的な診断で潜在リスクを発見し、経営へのインパクトに照らして適切な対策を行なうことで、Webサイトをサイバー攻撃から保護します。

セキュリティリスクの把握

セキュリティリスクの有無と脆弱性レベルを把握し、効果的な予算配分で適切な対策を。

セキュリティサイクルの実現

日々進化するサイバー攻撃からの保護には、定期的な診断と対策が必要不可欠。

サービス概要

多くのユーザーの目に直接触れるWebアプリケーションと、攻撃者に密やかに標的にされるサーバーやゲートウェイ機器等のプラットフォーム、両面から診断を実施し、総合的にリスクを把握します。

Webサーバー上で稼動するアプリケーションに対し、経験豊かなセキュリティ技術者が外部から擬似攻撃を行い、未処置の脆弱性や潜在リスクを診断します。

Webサイトの機密情報漏洩、なりすまし、ECサイトの価格改ざん、フィッシング等の被害の危険性を洗い出すことができます。

診断方法

お客様環境にリモート接続して疑似アタックを実施。脆弱性の有無とその危険性レベルをチェックします。
誤検知や過剰検出を最小化するため、診断ツールによる自動チェック＋スキルの高いエンジニアによる手動チェックのハイブリッド診断で、信頼性の高い診断結果を提供します。
お客様のご要望に応じてオンサイトによる診断の実施も可能です。

診断レポート

脆弱性の有無やレベルだけではなく、具体的な対処方法までも含め、実際に技術者の方が改善対応に繋げやすい内容をご報告します。

主な診断項目

代表的なセキュリティ団体・組織が掲げる診断項目や最新の技術動向を加味した診断内容を提供します。

Webアプリケーション診断

SQLインジェクション
OS コマンドインジェクション
パラメータ操作による脆弱性
クロスサイトスクリプティング
セキュア属性のない Cookie
不要なエラーコードの表示
バッファーオーバーフロー
クロスサイトリクエストフォージェリー
セッション管理に関する問題
プロトコルの不適切な適用
不要なエラーメッセージの表示
HTML5のクロスオリジン設定に関する問題
HTML5のレスポンスヘッダに関する問題
Sandbox 属性のないインラインフレーム
Webサーバ設定ミスによるサーバ情報、アプリ情報の漏えい
Webサーバのディレクトリやファイルの不適切な公開設定
Webサーバの既知の脆弱性

プラットフォーム診断

バックドアが仕掛けられているかどうかのチェック
危険なCGIの検出。クロスサイトスクリプトの可能性
DNS、メールサーバに関する脆弱性チェック
データベースに関する脆弱性チェック
Unixのデフォルトアカウントのチェック
DoSを受け付けてしまう弱点の検査
FTPに関する脆弱性チェック
Firewallに関する脆弱性チェック
リモートからシェルが奪取できる可能性をチェック
他のカテゴリには含まれない脆弱性をチェック
一般的には使われていないソフトや機器のチェック
P2Pのファイル共有に関する脆弱性チェック
RPCに関する脆弱性をチェック
特定のポートで稼働しているソフトのタイプを識別
ウェブサーバに関する脆弱性チェック
Windowsに関する脆弱性をチェック
Windowsのユーザ管理に関する脆弱性をチェック

選ばれる理由

診断ツール＋エンジニア手作業のハイブリット診断

セキュリティ脆弱性診断にはツール診断と手動診断という区別がありますが、弊社ではそれぞれの長所の組み合わせたハイブリットな手法を採用しています。
診断ツールは実績の豊富な製品を採用し最新の技術動向・攻撃手法を加味した形でWASCやOWSAPといった代表的なセキュリティ団体が掲げる脆弱性項目をカバーします。
高水準のサービス基準要件をクリア

弊社のセキュリティ脆弱性診断サービスは、一定の技術要件および品質管理要件を満たした内容で、CEH（認定ホワイトハッカー）、CND（認定ネットワークディフェンダー）を中心とする専門技術者が対応します。
安心してご利用いただける、コストパフォーマンスに優れた診断サービスです。
高品質な診断レポート

脆弱性の有無やリスクレベルといった結果だけでなく、対処方法まできちんと記載した、具体的な改善対応に繋げることができるレポートを提出します。
一般的に診断ツールのみの診断では誤検知や検知漏れが発生しますが、弊社ではセキュリティエンジニアが診断結果を評価することで誤検知や検出漏れを最小化し、信頼性の高いレポートを作成します。
SOCによるアフターフォロー

診断後の質疑応答への対応は当然ながら、SOCサービスに従事するセキュリティエンジニアが、修正方法のアドバイスやセキュリティ製品の導入を支援することが可能です。
セキュリティ脆弱性診断に留まらないアフターフォロー体制が整っています。