お問い合わせ

SECURE-AID Apps

SECURE-AID Apps  最新の脆弱性情報をもとにWebアプリケーションを自動診断

SECURE-AID Apps
SECURE-AID Apps

Webサイトで扱う機密情報は増加の一方で、脆弱性を狙ったサイバー攻撃は深刻化

セッション管理の不備や、Webサーバーの設定ミス、ミドルウェアのパッチ未適用等が原因で、Webサイトから機密情報が閲覧可能になる、または、漏洩する事例が後を絶ちません。被害を事前に防ぐためには、最新の脆弱性情報を常に把握し、定期的にセキュリティ診断を実施することが不可欠ですが、専任のセキュリティエンジニアを置くことができない企業にとって、大きな負担になっています。

Webサイトのセキュリティ管理のお悩み

  • 会員情報など機密情報を扱っているので、Webアプリケーションに脆弱性があるか心配
  • セキュリティ専任のエンジニアがおらず最新の脆弱性情報をキャッチアップできていない
  • 公開サイトにセキュリティスキャンをかけたいが、パフォーマンスの低下や侵入検査に不安がある

SECURE-AID Apps を導入いただくことで
Webアプリケーションの脆弱性診断を
手軽に実施いただけます。

SECURE-AID Apps の特長

  • point1

    FORTUNE500企業にも導入された、PCI SSC認定ベンダのスキャナを採用。最新のフレームワークを利用して構築したサイトにも対応。

    Tenable社のスキャナを採用。ログインサイトや、HTML5やAJAXなどの最新のフレームワークを利用して構築したサイトのスキャンも可能です。
  • point2

    最新の脆弱性情報を反映したスキャナで診断。面倒なサーバー設定や、スキャン設定は一切なし。

    最新の全脆弱性情報を反映したスキャン結果には、脆弱性の対処方法までをご提示。SaaS型なのでサーバー設定は不要、スキャン設定も当社にて実施しますので、セキュリティ専門家がいなくても安心してご利用いただけます。
  • point3

    非侵入型スキャン。特定URLやファイルの除外設定も可能。

    サイトのパフォーマンスや安定稼働への影響を極小に抑えるため、公開サイトのセキュリティ診断にも安心してご利用いただけます。

ご提供内容

Webアプリケーション脆弱性診断

WEBアプリケーションの脆弱性を「tenable.io™ Web Application Scanning」を利用し、自動診断を行います。 診断項目は、「NIST/NVD (CVSS Base Score)」に準拠しています。

tenable.io™ は、Tenable Network Security 社が提供する、Webアプリケーションの脆弱性診断ツールです。最新の脆弱性情報をもとに実施した診断結果は隠れたリスクを可視化し、早期対処を可能にします。

診断項目

※「下記表は指でスライドさせてご覧いただけます。」
区分 診断項目 診断内容
Webサーバー
ミドルウェア
バックドア有無
書き込み可能なディレクトリ有無
誰でも書き込み可能なディレクトリの存在や、バックドアの存在を診断します。
アクセス制御の状況
不要機能の有効化の有無
.htaccessなどによるアクセス制御設定の不備の有無や、公開ウェブサーバとして無効化されているべき設定が有効になっていないかどうかを診断します。(例: HTTP TRACE など)
意図しない公開ウェブコンテンツ有無 サーバー情報を出力するサンプルプログラムへアクセスできる状態になっているかどうかや、バージョン管理ツールの管理ファイルなど、通常は外部に公開すべきではないプログラムやファイルの存在を確認します。(例: info.php, CVS/Entries など)
CMSソフトウエア Drupal, Joomla!, WordPress に関して、各ソフトウエア特有の脆弱性有無を診断します。
その他ウェブサーバソフトウエア WebDAV や Cookie の扱い、ディレクトリトラバーサルなどの脆弱性有無を診断します。
Webアプリケーション 認証、および、セッション HTTP経由でのアプリケーションへの(ログイン認証によらない)ログインができるかを確認します。(ログインアカウント・パスワードのbrute forceアタックは行いません。)
また、セッショントークンの不正利用可否の確認をします。
OSコマンドインジェクション
コードインジェクション
フォームへ不正な内容を入力することによる、ユーザが任意のプログラムをサーバで実行可能な脆弱性の有無を確認します。
インジェクション SQL、noSQL、コード、LDAPに対するインジェクションの脆弱性有無を確認します。
クロスサイトリクエストフォージェリ 意図しないリクエストがクライアントから送信された場合に、それを正しいリクエストとしてWebサーバが解釈してしまう脆弱性の有無を確認します。
クロスサイトスクリプティング(XSS) HTML要素のevent tag、パス、スクリプトコンテンツ、HTML tag などにより、XSS攻撃ができるような脆弱性がWebサーバに存在するかどうかを確認します。
データエクスポージャー ソースコード、システム内部のプライベートIPアドレス、バックアップファイルなどが外部から参照できる状態になっているかどうかを確認します。
ファイルのインクルード ローカルもしくは外部のファイルをインクルードして動作するコンテンツがあるかどうかを確認します。

※自動診断ツール(tenable.io™Web Application Scanning)が提供する診断手法を用い、プラットフォーム(OS・ミドルウェア・ネットワーク)の脆弱性パターンを診断します。

診断結果レポート

脆弱性診断ツール 「tenable.io™ Web Application Scanning」 が出力する、診断結果レポート(英語)をご提示します。検出された脆弱性を4段階で分析。対処方法も詳細にご提示いたします。

診断結果レポート
診断結果レポート

※オプションで、日本語レポート(診断結果の解説)をご提示いたします。レポートサンプルもございます。お気軽にお問い合わせください

他診断サービス

定期的なプラットフォーム診断

ツールによるプラットフォーム定期自動診断、エンジニアによる診断結果分析と脆弱性の解消代行をご提供いたします。定期自動診断は、月額1,000円よりご利用いただけます。
詳しくは、SECURE-AID をご参照ください。

スマホ、Webアプリ、IoT機器の脆弱性をセキュリティエンジニアが手動診断

ホワイトハッカーが手動診断で、スマホアプリ、Webアプリ、IoT機器の脆弱性を診断し、分析レポートをご提示いたします。
詳しくは、SECURE-AID Advanced をご参照ください。

診断の流れ

導入フロー
  • 「SECURE-AID Apps 利用規約」をご参照の上、「セキュリティ診断実施同意書」をご記入・ご提出。
  • 2営業日以内に、当社にてスキャン設定、診断実施。
  • 診断結果レポートを、ご指定のメールアドレスに自動通知。
  • お客様にて脆弱性対応後、当社へご連絡いただき、再スキャンを実施・レポートをご連絡。お客様にて脆弱性が解消されていることを確認いただく。

料金

※「下記表は指でスライドさせてご覧いただけます。」
項目 料金(税抜)
Webアプリケーション診断
診断結果レポート(英語)
1FQDN 98,000円/回
再診断(1回)無料、(2回目)78,400円、(3回目)68,600円
診断結果の解説レポート(日本語) 126,000円/本

・再診断は、初回診断より 60 日以内に限り、同一 FQDN へ実施するものとします。

よくあるご質問

サブドメインは別アドレスになりますか?

はい、サブドメインは別アドレスとなります。

診断方法を教えてください。

Webアプリケーション診断は、Tenable社の SaaS型診断ツール tenable.io™ Web Application Scanning を利用して自動診断を行います。診断項目は、「NIST/NVD (CVSS Base Score)」に準拠しています。
手動診断をご希望の場合は SECURE-AID Advanced をご参照ください。

診断対象Webサイトの階層・ページ数に上限はありますか?

トップページから10階層、最大10,000ページまで、とさせていただきます。10,000ページを超えるサイトも診断いたしますが、追加料金をいただきます。詳しくはお問合せください。

ログインが必要なサイトを診断できますか?

はい、ログイン認証があるサイトの診断も可能です。

JavaScript 等で画面生成しているページを診断できますか?

はい、可能です。 HTML5 や AJAX といった最新のフレームワークを利用して構築したサイトにも対応しています。

スキャン設定は簡単にできますか?

診断のためのスキャン設定はすべて当社にて行います。お申込みいただいてから、最大2営業日で設定完了し、スキャン実行いたします。

スキャン対象のテストサーバーにBASIC認証やFireWallでアクセス制限をかけている場合は、診断できますか?

はい、可能です。 スキャン用の、BASIC認証のID、パスワードを発行しご連絡ください。FireWallについては、当社よりご連絡する「診断元IPアドレス」の通信を許可するよう設定をお願いいたします。

脆弱性解消後の再診断は無料ですか?

はい。診断後60日以内に限り、同一 FQDN サイトへの再診断は無料となります。2回目以降は、割引価格にて診断いただけます。詳細は「料金」をご参照ください。

診断中のWebサーバーへの負荷はどのくらいでしょうか?

診断項目は各項目を順番に実行し、一度に大量のアクセスを実行しませんので、お客様WEBサイトの稼働に影響はありません。

AWS等のクラウドサービスに対する脆弱性診断の事前申請について

診断対象のWebアプリケーションが、クラウド事業者が提供するWebサーバー上で稼働している場合は、診断前に事前申請が必要な場合があります。

SECURE-AID、SECURE-AID Advanced との違いは何ですか?

SECURE-AID は プラットフォーム(OS・ミドルウェア・ネットワーク)の自動診断、SECURE-AID Advanced は、セキュリティエンジニアによる、プラットフォーム、Webアプリケーション、IoT 機器の手動診断となります。

サービスへのお問い合わせ

SECURE-AID Appsに関しての詳細情報をご希望の場合は、
お問い合わせフォームまたは下記電話番号よりご連絡ください。

03-5946-8405

SECURE-AID Apps
利用規約(PDF)ダウンロード
お問い合わせはこちら

ご相談・お問い合わせはこちらから

サービスについてのご相談、資料のご請求など、お気軽にお問い合わせください。

03-5946-8400 平日 10:00 - 18:00
page top