三井物産セキュアディレクション セキュリティ診断なら

Webアプリケーション診断

概要特長料金全てを見る
概要

Webアプリケーション診断の必要性

 業務アプリケーション、電子メール、オンラインサービス、外部Webアプリケーションの活用など、企業、組織の情報資産とインターネットが連動するケースがますます増えています。それに合わせるようにWebアプリケーションの脆弱性を狙ったサイバー攻撃が急増しています。MBSDが行ったWebアプリケーション診断では、現状の約80%のサイトから何らかの脆弱性が発見されています。企業の存続にもかかわるWebサイト経由の個人情報や機密情報の漏えい防止は、いまや最優先のセキュリティ課題です。
※MBSD2009年4月〜2010年3月に実施したWebアプリケーション診断サービスの結果

Webアプリケーション診断でリスクを徹底検証

 MBSDの「Webアプリケーション診断サービス」は、お客様のWebアプリケーションをセキュリティエンジニアが攻撃者の視点に立って模擬攻撃を行い、お客様のWebサービスに潜む危険性を隅々まで調査、診断するサービスです。検出された脆弱性の詳細なレポートと併せて有効な対策を報告し、安全なWebサービスの運用を支援します。

ページトップにネットワーク上のサーバーや機器の脆弱性を診断するなら「ネットワーク診断サービス


Webアプリケーション診断

ページトップにページトップへ

特長

他社に秀でたWebアプリケーション診断能力

 MBSDのWebアプリケーション診断サービスは2001年から他社に先駆けてスタートし、その経験値と技術力は業界でも秀でています。実際に多くのお客様にご利用いただき、他社の診断後に弊社が診断を行うと新たに脆弱性を発見できるケースが多くあります。

・2012年度 Webアプリケーション診断実績(官公庁、大手都市銀行、インターネットビジネス企業など)

1,600サイト以上(150,000画面以上)

3段階のフェーズで脆弱性を隅々まで診断

 MBSDのWebアプリケーション診断サービスは、3段階のフェーズで脆弱性診断を実施します。セキュリティエンジニアの知識と経験を生かした手動診断をメインに脆弱性診断を行うことで診断漏れをなくし、品質の高い診断サービスを提供します。

Phase 1 診断ツールとセキュリティエンジニアが多角的に検出・分析

MBSDのセキュリティエンジニアが、手動診断をメインに独自の診断ツールを併用しながらお客様のWebアプリケーションからすばやくセキュリティリスクを検出し、多角的に調査・分析をします。

Phase 2 経験豊かなセキュリティエンジニアが手動診断

経験豊かなセキュリティエンジニアがそのナレッジを活かしながら行う手動診断では、Webアプリケーションごとに異なるビジネスロジックのチェック等を行いながら、診断過程で得られた情報から人間が脆弱性を予測することで、より精密な脆弱性の検出が可能となります。

Phase 3 複数のセキュリティエンジニアがリスクを評価

診断結果の精度を高めるため、複数のセキュリティエンジニアが画面遷移や診断結果を見ながらレビューを実施し、脆弱性の脅威、影響度を考慮し、リスクを評価します。

手動診断で的確に脆弱性を検出

 MBSDでは、手動診断をメインに独自ツールも有効に組み合わせながら、お客様のWebアプリケーションの多角的な調査・分析を行い、高い脆弱性の検出精度を実現させています。
※手動診断ですべての項目を診断可能ですが、作業の効率化を図るためにWebアプリケーション診断ツールを併用しています。


診断項目 診断項目の具体例 一般的な診断 MBSDの診断
サーバー設定に関する
脆弱性
・サーバーソフトウェア情報の漏えい
・管理機能へのアクセス
・不要なメソッド、コンテンツ
不要なコメント
バックアップファイルとデバッグオプション
 など
認証や暗号化機能の
実装
・ユーザー情報の窃取
脆弱なパスワード
・パスワードリセット機能
HTTPSの適用漏れ
・レースコンディション
 など

部分的に
検出可能
セッション管理 ・Cookieの属性
強制ブラウジング
セッション・ハイジャック(セッション管理)
・セッションフィクセーション
クロスサイトリクエストフォージェリ(CSRF)
 など

部分的に
検出可能
ビジネスロジックの
実装
・個々のWebアプリケーションに定められた仕様の検証
データ操作 SQLインジェクション(SQL Injection)
クロスサイトスクリプティング(XSS)
OSコマンドインジェクション(OS command injection)
HTTPレスポンス分割
バッファオーバーフロー(buffer overflow)
パス名トラバーサル
エラーメッセージ
 など

Webアプリケーション診断報告書(サンプル)

 検出された脆弱性に関しての詳細(再現性)、影響、対策を報告します。

診断報告書

総合評価

診断報告書

脆弱性詳細(内容・対策)



ページトップにページトップへ

診断フロー

Webアプリケーション診断 フロー

現状調査・巡回

●お客様ご指定のWebサイトに対して巡回作業を実施
●巡回の結果をもとに診断対象サイトの優先順位付け など

Webアプリケーション脆弱性診断

●巡回結果をもとに策定したスケジュールにて診断作業を実施
●診断ツールよる効率の良い診断、およびセキュリティエンジニアによる手動診断を実施

分析・評価

●検出された脆弱性の分析・評価
●脆弱性が悪用された場合の脅威、影響度などを分析・評価
●診断結果報告書の作成

Webアプリケーション診断結果の報告

●お客様へのWebアプリケーション診断結果報告会を実施
●診断結果(脆弱性、脅威、影響度など)に関する質疑応答
●診断結果報告書の納品(紙媒体、CD-Rを1セット)

スペース

ページトップにページトップへ

料金

Webアプリケーション診断 料金

お客様の環境により費用は異なります。
お問い合わせ下さい



ページトップにページトップへ


company_side space
  • セキュリティインサイト
  • メディア掲載
  • 導入事例
  • サイバーセキュリティ事件簿
  • お問い合わせ
  • 採用情報
  • MBSD SIRT
  • MBSD Blog

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171