脆弱性診断

HOME > サービス > 脆弱性診断

脆弱性診断 概要

セキュリティサービス

複合的なアプローチによりWebシステムを診断。脆弱性の抽出とその解決策をご提案いたします。

オンライントレードやショッピング、情報公開など、WEBを活用したビジネスは今や組織にとって必要不可欠な存在になりました。 その一方で、情報システムへの侵入経路として悪意ある攻撃を受ける対象にもなっており、組織にとって、その脆弱性を排除することはコーポレートガバナンス上、 欠かせません。脆弱性診断は、悪意ある攻撃を受ける前に、自らを防御するための問題特定ツールです。BBSecでは、“セキュリティリスク最小化”にむけて、精度の高い手動診断と自動診断を組み合わせ、お客様システムの健全化を支援しています。

診断の流れ

   
手順 概要
調査

全案件に対し、対象システムの事前調査を実行し診断対象のリスト化を行います。このリストを元にお客様と詳細確認を行い、ページ単位で重要度を把握した上でスケジュールやお見積もりを作成します。お客様にご満足の行く費用対効果を提供する源泉の作業となります。

診断範囲確定

事前調査をもとに、お客様のニーズや対象システムの性質にあわせ診断範囲を確定し、お客様再確認のもと診断範囲を確定する事で、診断漏れ等を無くして行きます。

ツール診断

各種商用ツールや独自開発ツールによる自動検査を実施。蓄積された診断ノウハウと急増する診断手法を機械化し、診断内容の網羅性を維持した診断を行います。

エンジニア診断

スペシャリストによる手動検査により事前調査結果をベースに、深部に及ぶ診断を行います。

分析

最新のセキュリティ情報やトレンド、対象システムの性質に配慮しながらエンジニアの診断結果を更に分析し、検出された脆弱性のリスクレベルの最終判定を行います。

報告書作成

診断・分析結果をレーダーチャートなどに図示し、その対策案をお客様にわかりやすくまとめます。

報告会

報告書をもとに徹底的な質疑応答と最新のセキュリティ情報やトレンドを織り交ぜた説明によりお客様理解度向上に努めます。

再診断

指摘箇所修正が完了し次第、指摘部位への再診断を行います。

診断保守

常時、最新セキュリティ情報にアップデートされている2種類の自社開発システムにより、日常的なリスク診断を行います。メイン診断以後の最新攻撃に対するサイト耐久力をご確認いただく事を可能とします。

■ 改竄検知サービス:サイトが改竄されていないかチェックします。

■ 自動脆弱性診断サービス:サイトやシステムに脆弱性(既存・新規)が発生していないか検査します。

定期診断

定期的な深部に至る診断により、変化する環境に対応したシステムを維持することができます。

サービス特徴

ポイント1:ツール診断と手動診断を組み合わせ高レベルの診断結果を導きだします

バックドア有無の確認

手動診断は検出されたポート、サービスに対して綿密な検証を実施することから、「バックドア」有無の可能性まで特定することが可能です。
※ソースコードレベルのバックドア有無の確認はソースコード診断にて確認可能です。

診断項目の網羅性

手動診断は、ツール診断より多くの問題箇所の特定が可能です。

   
認証

ログインフォームに関する調査、ログイン情報の送受信に関する調査

セッション管理

Cookieの取り扱いに関する調査、セッションIDに関する調査、クロスサイトリクエストフォージェリ

入出力処理

クロスサイトスクリプティング、SQLインジェクション、コマンドインジェクション、 ディレクトリトラバーサル、ファイルアップロード、パラメータ推測

一般的な脆弱性

既知のソフトウェア脆弱性、強制ブラウジング、ディレクトリリスティング

Webサーバ設定

システム情報の開示、サーバエラーメッセージ

高レベルの
脆弱性診断結果

手動診断は、ツール診断より実態に即した診断結果のご提供が可能です。



ポイント2:お客様のニーズにあわせて作成されるレポート
診断結果の報告書は、エグゼクティブサマリ及び問題箇所の発見傾向と弊社セキュリティエンジニアによる分析、再現手順、問題箇所一覧を備えたレポートを基本とし、重要な問題の発見時にメール する速報、開発者向けのサマリレポート等、お客様のニーズに合わせて、一つ一つ作成します。
ポイント3:脆弱性の評価基準について
発見された脆弱性に対し、CVSS(Common Vulnerability Scoring System)、クレジットカードにおけるセキュリティ基準PCIデータセキュリティスタンダード(Payment Card Industry Data Security Standard)、OWASP Top10、CAPEC、NIST、CWE等、国際的な脆弱性評価基準をもとに、弊社独自の基準を適用し脆弱性のランク付けを行っております。 ツール診断と手動診断によって洗い出された問題箇所は一つ一つ誤検知・過検知を取り除くとともに、対象システムの特性や出現条件の難易度等によりリスク評価を行います。 ツール診断によるリスク評価では機械的な判定になりますが、手動診断ではお客様の業種やシステム環境、保持している情報の種類等、他の要因も考慮したリスク分析を実施します。したがって、どの問題箇所に修正を施すべきかどうかを正確に確認することができます。

サービス一覧

スポット診断、定期診断
WEBアプリケーション脆弱性診断
開発中、運用中のWEBシステムに対し、インターネットを介して外部からWEBアプリケーションの脆弱性を診断します。
 

データベース診断
総合的な診断によりシステムの要であるデータベースを多種多様なリスクから守ります。

 

ネットワーク脆弱性診断
WEBアプリケーションと共に外部インターフェースとなるネットワークの脆弱性について調査し、診断します。
 

ソフトウェア品質分析診断
独自開発ソフトウェアのソースコードを静的に分析し、隠された脆弱性とコーディング品質を検証します。
 

スマホアプリ脆弱性診断

通信を必要とするスマートフォンアプリに対し、端末にインストールされるアプリケーション・サーバ双方の脆弱性診断を行います。
 

SaaS型ソフトウェア品質自動分析診断
  アプリケーションのソースコードをアップロードするだけで、ソースコードの脆弱性と 品質の診断を行えるSaaS型品質分析自動ツールです。
 

診断保守
WEBサイトコンテンツ改ざん検知
インターネットを介してお客様のWebサイトコンテンツの改ざん・埋め込みを診断する自動ツールです。

デイリー自動脆弱性診断
インターネット越しにお客様サイトの脆弱性をチェックする、自動診断ツールです。
 

脆弱性診断に関するお問い合せはこちらから