03-5946-8400
HOMESECURE-AID Apps 最新の脆弱性情報をもとにWebアプリケーションを自動診断
Webサイトで扱う機密情報は増加の一方で、脆弱性を狙ったサイバー攻撃は深刻化
セッション管理の不備や、Webサーバーの設定ミス、ミドルウェアのパッチ未適用等が原因で、Webサイトから機密情報が閲覧可能になる、または、漏洩する事例が後を絶ちません。被害を事前に防ぐためには、最新の脆弱性情報を常に把握し、定期的にセキュリティ診断を実施することが不可欠ですが、専任のセキュリティエンジニアを置くことができない企業にとって、大きな負担になっています。
Webサイトのセキュリティ管理のお悩み
- 会員情報など機密情報を扱っているので、Webアプリケーションに脆弱性があるか心配。
- セキュリティ専任のエンジニアがおらず、最新の脆弱性情報をキャッチアップできていない。
- 公開サイトにセキュリティスキャンをかけたいが、パフォーマンスの低下や侵入検査に不安がある。
Webアプリケーションの脆弱性診断を
手軽に実施いただけます。
SECURE-AID Apps の特長
point1
FORTUNE500企業も利用するPCI ASVスキャナを採用。最新のフレームワークを使って構築したサイトにも対応。
Tenable Network Security社のスキャナを採用。ログインサイトや、HTML5やAJAXなどの最新のフレームワークを利用して構築したサイトのスキャンも可能です。
point2
最新の脆弱性情報を反映したスキャナで診断。面倒なサーバー設定や、スキャン設定は一切なし。
最新の全脆弱性情報を反映したスキャン結果には、脆弱性の対処方法までをご提示。SaaS型なのでサーバー設定は不要、スキャン設定も当社にて実施しますので、セキュリティ専門家がいなくても安心してご利用いただけます。
point3
非侵入型スキャン。特定URLやファイルの除外設定も可能。
サイトのパフォーマンスや安定稼働への影響を極小に抑えるため、公開サイトのセキュリティ診断にも安心してご利用いただけます。
ご提供内容
Webアプリケーション脆弱性診断
WEBアプリケーションの脆弱性を「tenable.io™ Web Application Scanning」を利用し、自動診断を行います。 診断項目は、「NIST/NVD (CVSS Base Score)」に準拠しています。
tenable.io™ は、Tenable Network Security 社が提供する、Webアプリケーションの脆弱性診断ツールです。最新の脆弱性情報をもとに実施した診断結果は隠れたリスクを可視化し、早期対処を可能にします。
診断項目
| 区分 | 診断項目 | 診断内容 |
|---|---|---|
| Webサーバー ミドルウェア |
バックドア有無 書き込み可能なディレクトリ有無 |
誰でも書き込み可能なディレクトリの存在や、バックドアの存在を診断します。 |
| アクセス制御の状況 不要機能の有効化の有無 |
.htaccessなどによるアクセス制御設定の不備の有無や、公開ウェブサーバとして無効化されているべき設定が有効になっていないかどうかを診断します。(例: HTTP TRACE など) | |
| 意図しない公開ウェブコンテンツ有無 | サーバー情報を出力するサンプルプログラムへアクセスできる状態になっているかどうかや、バージョン管理ツールの管理ファイルなど、通常は外部に公開すべきではないプログラムやファイルの存在を確認します。(例: info.php, CVS/Entries など) | |
| CMSソフトウエア | Drupal, Joomla!, WordPress に関して、各ソフトウエア特有の脆弱性有無を診断します。 | |
| その他ウェブサーバソフトウエア | WebDAV や Cookie の扱い、ディレクトリトラバーサルなどの脆弱性有無を診断します。 | |
| Webアプリケーション | 認証、および、セッション | HTTP経由でのアプリケーションへの(ログイン認証によらない)ログインができるかを確認します。(ログインアカウント・パスワードのbrute forceアタックは行いません。) また、セッショントークンの不正利用可否の確認をします。 |
| OSコマンドインジェクション コードインジェクション |
フォームへ不正な内容を入力することによる、ユーザが任意のプログラムをサーバで実行可能な脆弱性の有無を確認します。 | |
| インジェクション | SQL、noSQL、コード、LDAPに対するインジェクションの脆弱性有無を確認します。 | |
| クロスサイトリクエストフォージェリ | 意図しないリクエストがクライアントから送信された場合に、それを正しいリクエストとしてWebサーバが解釈してしまう脆弱性の有無を確認します。 | |
| クロスサイトスクリプティング(XSS) | HTML要素のevent tag、パス、スクリプトコンテンツ、HTML tag などにより、XSS攻撃ができるような脆弱性がWebサーバに存在するかどうかを確認します。 | |
| データエクスポージャー | ソースコード、システム内部のプライベートIPアドレス、バックアップファイルなどが外部から参照できる状態になっているかどうかを確認します。 | |
| ファイルのインクルード | ローカルもしくは外部のファイルをインクルードして動作するコンテンツがあるかどうかを確認します。 |
※自動診断ツール(tenable.io™Web Application Scanning)が提供する診断手法を用い、プラットフォーム(OS・ミドルウェア・ネットワーク)の脆弱性パターンを診断します。
診断結果レポート
脆弱性診断ツール 「tenable.io™ Web Application Scanning」 が出力する、診断結果レポート(英語)をご提示します。検出された脆弱性を4段階で分析。対処方法も詳細にご提示いたします。
※オプションで、日本語レポート(診断結果の解説)をご提示いたします。レポートサンプルもございます。お気軽にお問い合わせください。
PCI コンプライアンス対応
クレジットカード業界の情報セキュリティ基準である、PCI DSS要件に準拠した診断テンプレートがプリセットされています。また、Tenable Network Security社は PCI ASV ベンダであるため、PCI DSS 要件 11.2.2 に準拠したスキャンレポートの作成とASV レビューを依頼でき、四半期ごとの PCI ASV スキャン負荷を軽減できます。
| PCI DSS 要件 | SECURE- AID EX |
SECURE- AID Apps |
|
|---|---|---|---|
| 2.2 | 構成コンプライアンス | ● | |
| 6.1 | ベンダ提供の最新のセキュリティパッチが適用されていることの確認 | ● | ● |
| 6.2 | 新たな脆弱性を識別し、リスク評価を割り当てるプロセスの確立 | ● | |
| 6.6 | Webアプリケーションの継続的な脆弱性スキャン | ● | |
| 11.2.1 | 内部の脆弱性スキャン | ● | |
| 11.2.2 | PCI ASVスキャナによる外部の脆弱性診断 | ● | |
セキュリティ監査にも対応。プラットフォームの脆弱性を外部・内部診断、脆弱性解消の代行
Tenable Network Security社の脆弱性診断ツール tenable.io™ を利用した脆弱性診断と、当社エンジニアによる診断結果分析と脆弱性の解消代行をご提供いたします。詳しくは、SECURE-AID EX をご参照ください。
スマホ、Webアプリ、IoT機器の脆弱性診断も可能です
ホワイトハッカーが手動診断で、スマホアプリ、Webアプリ、IoT機器の脆弱性を診断し、分析レポートをご提示いたします。
詳しくは、SECURE-AID Advanced をご参照ください。
定期的なプラットフォーム診断
ツールによるプラットフォーム定期自動診断、エンジニアによる診断結果分析と脆弱性の解消代行をご提供いたします。定期自動診断は、月額1,000円よりご利用いただけます。
詳しくは、SECURE-AID をご参照ください。
料金
| メニュー | 内容 | 料金(税抜) | 料金備考 |
|---|---|---|---|
| 脆弱性診断 | Webアプリケーション診断 診断結果レポート(英語) |
初期:98,000円/FQDN | 2FQDN 目以降、24,000円/FQDN をいただきます。 |
| ライセンス: 1,884,000円/年 | 5FQDN まで定額となります。 | ||
| オプション | 診断結果の解説レポート(日本語) | 30,000円/本 | – |
・脆弱性診断の実行を当社が代行する場合、最大週1回の実行となります。お客様ご自身で実行される場合は、回数の制限はございません。
・脆弱性診断のご利用にあたっては、TENABLE MASTER AGREEMENT(https://static.tenable.com/prod_docs/tenable_slas.html)へ同意いただく必要がございます。
よくあるご質問
- サブドメインは別アドレスになりますか?
はい、サブドメインは別アドレスとなります。
- 診断方法を教えてください。
Webアプリケーション診断は、Tenable Network Security 社の SaaS型診断ツール tenable.io™ Web Application Scanning を利用して自動診断を行います。診断項目は、「NIST/NVD (CVSS Base Score)」に準拠しています。
手動診断をご希望の場合は SECURE-AID Advanced をご参照ください。- 診断対象Webサイトの階層・ページ数に上限はありますか?
トップページから10階層、最大10,000ページまで、とさせていただきます。10,000ページを超えるサイトも診断いたしますが、追加料金をいただきます。詳しくはお問合せください。
- ログインが必要なサイトを診断できますか?
はい、ログイン認証があるサイトの診断も可能です。
- JavaScript 等で画面生成しているページを診断できますか?
はい、可能です。 HTML5 や AJAX といった最新のフレームワークを利用して構築したサイトにも対応しています。
- スキャン設定は簡単にできますか?
初回のみ、診断のためのスキャン設定は当社にて行います。2回目以降は、お客様にて実施いただく、当社にて実行を代行する、の両方が可能です。
- スキャン対象のテストサーバーにBASIC認証やFireWallでアクセス制限をかけている場合は、診断できますか?
はい、可能です。 スキャン用の、BASIC認証のID、パスワードを発行しご連絡ください。FireWallについては、当社よりご連絡する「診断元IPアドレス」の通信を許可するよう設定をお願いいたします。
- 脆弱性解消後の再診断は無料ですか?
はい。診断回数に制限はございません。尚、お客様任意のタイミングでの診断実行を当社にご依頼いただく場合は、最大週1回まで、とさせていただきます。
- 診断中のWebサーバーへの負荷はどのくらいでしょうか?
診断項目は各項目を順番に実行し、一度に大量のアクセスを実行しませんので、お客様WEBサイトの稼働に影響はありません。
- AWS等のクラウドサービスに対する脆弱性診断の事前申請について
診断対象のWebアプリケーションが、クラウド事業者が提供するWebサーバー上で稼働している場合は、診断前に事前申請が必要な場合があります。
- [診断] セキュリティ診断を1回だけ実施したいのですが、依頼できますか?
セキュリティ診断は、年間ライセンスのみでのご提供となります。1年間に実施いただく診断回数に制限はございません(お客様にて診断を実行される場合)。1回のみ実施される場合でも、ご請求金額は同じとなります。
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。