三井物産セキュアディレクション セキュリティ診断なら

RIA診断

概要特長診断フロー&料金全てを見る
概要

広がりを見せるRIAに対応

 本サービスは、近年、増加している RIA(Rich Internet Application)向けの脆弱性診断サービスです。
 RIAは、データ通信においてリアルタイム性を必要とするアプリケーションで用いられている技術です。RIAは、キャッシュできる画像等のデータは従来のHTTPプロトコルを使用して通信しますが、リアルタイム性の高いチャットや有価証券・外貨取引などのデータ送受信では、独自プロトコルを用いて通信を行っています。
 その為、RIA診断サービスでは、独自プロトコル通信の診断を行う必要があり、従来のWebアプリケーション脆弱性診断要素に加えて、アプリケーション全体での診断を実施する必要があります。

RIA診断

ページトップにページトップへ

特長

Web脆弱性診断にプロトコル解析技術を融合

 MBSDでは、従来のWeb脆弱性診断技術と、組み込み系機器のプロトコル解析技術を組み合わせ融合することで、RIA向け脆弱診断サービスを実現しています。
 MBSDのRIA診断サービスでは、まずお客様アプリケーションを調査し、アプリケーション毎の固有の特性に合わせた診断観点、診断手法を定義します。その定義を踏まえて、RIA固有のプロトコル解析・診断を実施するのが特長です。

RIA診断

3段階のフェーズによる診断

 RIA診断は従来のWeb診断と異なり、対象アプリケーションの通信プロトコルが多岐にわたるため、様々な課題が存在します。MBSDはそれらの課題に対して以下のような優位点をもって対応することが可能です。

Phase 1 独自ツールを活用した診断

診断対象アプリケーションにあわせてカスタマイズした独自診断ツールを活用することにより、診断作業の効率化と、網羅性の向上を実現致します。

Phase 2 プロトコル解析の実施

診断対象の通信に対してプロトコル解析を実施し、送受信されるデータの仕組みを把握します。通信内容を理解することで、精度の高い診断を実現致します。

Phase 3 アプリケーション機能に応じた診断項目の定義

診断対象アプリケーションの機能に応じて診断項目と診断手法をカスタマイズすることにより、網羅性と精度の高いセキュリティ診断を実現致します。

RIA診断で検出される脆弱性の例

【機能実行時に送信されるID変更によるなりすまし】

 クライアントが機能実行時にサーバに対してIDを送信しており、それらの値を変更することで他ユーザーのなりすましや権限のバイパスが可能となっていた。
RIA診断  これらの脆弱性を検出するためには、以下のステップが必要です。

1.プロトコル解析を実施し、通信内容を理解する(この脆弱性の場合、通信内のID部分)
2. アプリケーションの仕様(ロジック)に対応した診断を実施する。


【レースコンディション(競合状態)による得点操作】

RIA診断

 クライアントの機能実行時の通信が①~③の順番となるという想定のもとで、アプリケーションが構成されているため、順番を崩すことで値を操作する事が可能となっていた。
 上記同様に本脆弱性を検出するためには プロトコル解析による内容理解や、アプリケーションロジックに応じた診断が必要です。



ページトップにページトップへ

診断フロー

RIA診断 フロー

診断準備

●診断対象範囲についてのヒアリング

※事前に当社指定のヒアリングシートをご提供します。

●診断対象範囲の確認、プロトコル解析の実施 など

診断実施

●事前確認に基づき診断作業を実施
●検出された脆弱性について速報の提出

報告書提出−報告会開催

●検出された脆弱性の分析・評価(セキュリティレベルの判定)
●脆弱性が悪用されないための改善策の検討/決定
●診断結果報告書の作成、報告会の開催

診断後サポート

●お客さまによる脆弱性への対応
●再診断の実施

スペース

ページトップにページトップへ

料金

RIA診断 料金について

本サービスは、診断期間:10営業日より、価格:3,000,000円から、となります。
詳細は当社にお問い合わせ下さい



ページトップにページトップへ


company_side space
  • セキュリティインサイト
  • メディア掲載
  • 導入事例
  • サイバーセキュリティ事件簿
  • お問い合わせ
  • 採用情報
  • MBSD SIRT
  • MBSD Blog

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171