脆弱性診断とは
ネットワークやウェブサイトなどに脆弱性が存在しないかどうかを調査し、正しく現状把握する事。
お客様ご自身で様々なフレームワークや公開資料を参考にしながらチェックする事も可能ですが、第三者のセキュリティ会社によるチェックを受ける事で、自社では発見が難しい脆弱性を検出できる可能性が高く、検出後、的確なアドバイスを受けられます。一言に「脆弱性」といっても、検出されるレイヤー(場所)によって、診断方法も変わるため、お客様のご要望に応じて最適な診断をご提案します。
|
Web/スマホ アプリケーション、 ソースコード |
プラットフォーム /ネットワーク |
|
|---|---|---|
| 脆弱性が 発生する 箇所 |
個別開発したアプリケーションに発生 | OSやミドルウェア等のパッケージ製品に発生 |
| 脆弱性が 発生する 原因 |
アプリケーションの設計 | OSやミドルウェア等のバージョンが古い(既知の脆弱性) |
| プログラミングミス、コーディングルールが守られない | OSやミドルウェアの設定ミス | |
| 代表的な セキュリティ 脅威 |
Webアプリケーション背後のDBからデータが盗まれる | サーバ等の管理者権限を乗っ取られ、全情報が漏えいする |
| Webサイトが改ざんされる | 乗っ取ったサーバを踏み台に他のサーバに侵入する可能性 |
様々な脆弱性診断
ヒアリング事項
(プラットフォーム脆弱性診断)
▶ プラットフォーム脆弱性診断サービスは以下の点を、事前に協議・検討の上でお見積をご提示します。
- ・対象IP数
- ・報告会の有無及び、回数
- ・診断場所(リモートorオンサイト)
- ・診断時間帯
ヒアリング事項
(Webアプリケーション脆弱性診断)
▶ Webアプリケ―ション脆弱性診断サービスは以下の点を、事前に協議・検討の上でお見積をご提示します。
- ・対象アプリケーションの動的リクエスト数
- ・報告会の有無及び、回数
- ・診断場所(リモートorオンサイト)
- ・診断時間帯
- ・診断対象環境(例:テスト環境、本番環境)
サービス提供の流れ
サービス提供イメージ
お見積に必要な情報(ヒアリングシート等)ご提供し、対象システムについて調査させて頂きます。
ヒアリングシートをもとに診断方法や手順のご説明し、当日の連絡体制などを打ち合わせします。
複数日に跨る診断の場合は、診断実施と終了を連絡します。
重大な脆弱性があった際には、速報連絡します。
以下内容を基本に分かりやすい報告を行います。
・発見された問題点
・影響の評価
・改善方法
・必要性
・攻撃再現方法
見つかった脆弱性をお客様で修正頂いた後、必要に応じ再度診断し、本当に改善されているか診断します。
1から3か月
※診断対象や診断方法(リモート/オンサイト/調査時間帯)
により変動