脆弱性診断サービス

脆弱性診断とは

ネットワークやウェブサイトなどに脆弱性が存在しないかどうかを調査し、正しく現状把握する事。
お客様ご自身で様々なフレームワークや公開資料を参考にしながらチェックする事も可能ですが、第三者のセキュリティ会社によるチェックを受ける事で、自社では発見が難しい脆弱性を検出できる可能性が高く、検出後、的確なアドバイスを受けられます。一言に「脆弱性」といっても、検出されるレイヤー(場所)によって、診断方法も変わるため、お客様のご要望に応じて最適な診断をご提案します。

様々なレイヤーに潜む脆弱性と診断方法について
ISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス
脆弱性が潜むポイント
Web/スマホ
アプリケーション、
ソースコード
プラットフォーム
/ネットワーク
脆弱性が
発生する
箇所
個別開発したアプリケーションに発生 OSやミドルウェア等のパッケージ製品に発生
脆弱性が
発生する
原因
アプリケーションの設計 OSやミドルウェア等のバージョンが古い(既知の脆弱性)
プログラミングミス、コーディングルールが守られないOSやミドルウェアの設定ミス
代表的な
セキュリティ
脅威
Webアプリケーション背後のDBからデータが盗まれる サーバ等の管理者権限を乗っ取られ、全情報が漏えいする
Webサイトが改ざんされる 乗っ取ったサーバを踏み台に他のサーバに侵入する可能性

様々な脆弱性診断

脆弱性が潜むポイント ISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

ヒアリング事項
(プラットフォーム脆弱性診断)

▶ プラットフォーム脆弱性診断サービスは以下の点を、事前に協議・検討の上でお見積をご提示します。

  • 対象IP数
  • 報告会の有無及び、回数
  • 診断場所(リモートorオンサイト)
  • 診断時間帯
ISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

ヒアリング事項
(Webアプリケーション脆弱性診断)

▶ Webアプリケ―ション脆弱性診断サービスは以下の点を、事前に協議・検討の上でお見積をご提示します。

  • 対象アプリケーションの動的リクエスト数
  • 報告会の有無及び、回数
  • 診断場所(リモートorオンサイト)
  • 診断時間帯
  • 診断対象環境(例:テスト環境、本番環境)
ISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

サービス提供の流れ

サービス提供イメージ

予備調査ISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

お見積に必要な情報(ヒアリングシート等)ご提供し、対象システムについて調査させて頂きます。

打ち合わせISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

ヒアリングシートをもとに診断方法や手順のご説明し、当日の連絡体制などを打ち合わせします。

診断実施ISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

複数日に跨る診断の場合は、診断実施と終了を連絡します。

速報連絡ISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

重大な脆弱性があった際には、速報連絡します。

報告会ISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

以下内容を基本に分かりやすい報告を行います。
・発見された問題点
・影響の評価
・改善方法
・必要性
・攻撃再現方法

再診断 ※OptionISID | 第三者目線で脆弱性有無をチェック | 脆弱性診断サービス

見つかった脆弱性をお客様で修正頂いた後、必要に応じ再度診断し、本当に改善されているか診断します。

1から3か月

※診断対象や診断方法(リモート/オンサイト/調査時間帯)
により変動