Webサイトへの攻撃手法は日々進化し、かつ複雑化しています。Webサイトを運営する企業・組織は、Web2.0 に即した新しいサービスを提供しつつ、Webサイト利用者を守るためのITリスクマネジメントをどのように実現するのか、具体的に検討し対応する必要があります。

Webサイトにおける脆弱性は、次のような原因から生じます。

• 1.セキュリティに関する認識不足、責任者不在
• 2.セキュリティ予算の確保ができていない
• 3.間違ったセキュリティ認識

また、ソフトウェアを発注する側が開発会社にすべてを委託してしまい、十分な品質チェックが行えていない場合や、事件・事故発生時における対策が講じられていない場合があります。

MBSDが提供する「WebSec ASP」サービスは、Webアプリケーション診断サービスのノウハウをASP形態で提供することにより、スピーディ・ローコストかつ簡単なWebアプリケーションの脆弱性診断を実現しました。

• 自社内で定期的なWebアプリケーション脆弱性診断を実施したい。
• 自社内でWebアプリケーションの開発を行っており、その品質検査を行いたい。
• 短納期のWebアプリケーション開発を行っており、脆弱性診断に十分な時間を割けない。

社内にWebサイトの専任管理者がいない場合や、専門診断員への依頼が難しい場合でも、時間とコストを抑えた検査を実施できます。

いつでも

開発スケジュールに検査テストの計画を立てやすく、都合の良いときにいつでも検査を実施。

繰り返し、何度でも検査可能。

安定的に

脆弱性検査知識の少ない開発者をサポート。

MBSDコンサルタントの診断ナレッジをシステムが共有。随時最新の検査情報へと更新。

安く、手軽に

高価な検査ソフトウェアの購入不要。

機器メンテナンス不要。

検査サーバ機器等のメンテナンス管理不要。

過去に作成した検査プロジェクト ( 検査のために必要な情報 ) を再利用可能。

ステップ1

HTTP記録ツールで検査対象サイトを巡回

ブラウザとHTTP記録ツールを用い、お客様自身で検査対象サイトを巡回。
巡回が終了しますと、HTTPリクエスト/レスポンスを記録したZIP形式のファイルが生成されます。

ステップ2

WebSecASP 自動診断

WebSecASPに巡回データをアップロードし、
WebSecASPが検査対象のWebサーバに対して検査パターンを自動実行。

ステップ3

WebSec ASP 検索結果画面

検査作業が終了後、検査結果をWebブラウザから確認することができます。各画面遷移毎に検出された脆弱性種別、危険度、HTTPリクエストパラメータ、巡回時のデータ、検査用のデータが表示されます。表示される各ページへのリンクをクリックすると検査(疑似攻撃)を行った際の結果を実際に確認できます。

発見された問題点に関する簡単な説明と対策が表示されますので、脆弱性問題改修の参考にすることができます。

短納期の開発現場でWebアプリケーション脆弱性検査を必要としている開発企業様に最適です。また頻繁にWebアプリケーションの機能拡張、改修を行っている場合、アプリケーションの変更のたびに脆弱性チェックを受ける必要があります。このように脆弱性検査を外注に出している時間がない、セキュリティレベルチェックを定期的に実行したい、コストを抑えたい企業様にはWebSecASPをおすすめします。