脆弱性診断サービスとは?
サーバー上で稼働する OS やアプリケーションに、プログラム設計、開発時に制作者の意図しない部分で内包されてしまったエラーや不整合などによって生じる、情報セキュリティにおける潜在的な欠陥の事を「脆弱性(セキュリティ・ホール)」と呼びます。
プログラム制作者、管理者が想定しえない、通常の使用では行わない様な操作方法などによって、「脆弱性」は気付かない内に発生する可能性があり、脆弱性をゼロにする事は極めて難しいと言えます。
また、脆弱性を内包、放置した状態で利用し続けていると、外部からの悪意ある攻撃などによって、企業にとっては許されない情報セキュリティにおける致命的なリスクを発生させる危険性があります。
この様な、セキュリティリスクを未然に防ぐ為、WEBページ、アプリケーション等のサービスに対して、悪意ある第三者によるクラッキング(攻撃)を想定し、疑似的に実行する事によって、サービスの問題点を洗い出し、安全性を調査する診断方法が「脆弱性診断(セキュリティ診断)」と呼ばれています。
-
脆弱性を内包したシステムでは、外部からの攻撃によるWEBサービスの改ざんや、情報の漏洩といったセキュリティリスクの危険性があります。
-
セキュリティリスクを防ぐ為外部からの攻撃を想定し擬似的に実行。脆弱性が潜んでないか、不正なリンクが埋め込まれていないかを診断。
-
脆弱性診断による結果を通知。被害を未然に防ぐ為の対策をあらかじめ講じる事が出来るので、セキュリティリスクは大幅に軽減されます。
脆弱性診断の必要性
近年のサイバー攻撃の増加により、企業のセキュリティ管理は、より強固なモノが求められております。運用中のサービスが脆弱性を内包していた場合、悪意ある第三者に狙われ、システムを改ざんされたり、個人情報、お客様情報の漏洩といったリスクがあるばかりではなく、サーバー自体を乗っ取られたり、他のサーバーの攻撃に使用され、ネット犯罪に加担させられる恐れもあります。この様な事態が起こってしまってからでは、どんなセキュリティ対策も間に合わず、企業の信頼に大きく損なう事となりかねません。そんなリスクを事前に調査し、被害が広がらない様に未然に防ぐ為にも、定期的な脆弱性の洗い出し=脆弱性診断は欠かせないセキュリティ対策だといえます。
脆弱性診断 サービス概要
弊社のパートナー企業である「CyberMatrix」社の、経験豊富なセキュリティ専門家によるWebアプリケーション、ネットワーク、IoT、API、モバイルアプリ(iOS/Android)クラウドリソース等の脆弱性を検査するサービスです。
- Webアプリケーション診断
-
Webサイトに潜むセキュリティ上の問題点(脆弱性)を、攻撃者の視点から調査し、検査するサービスです。本サービスはWebアプリケーションのセキュリティに精通し、SANS, EC-Council などセキュリティ教育機関が認定した専門家により診断します。 本サービスをご利用することでWeb脆弱性を介した情報漏えい等重大事件の発生防止、サービス不能によるWebサイト停止防止のリスクを低減させるための助言をいたします。本サービスは、インターネット経由で診断を実施します。
サービスプラン
ベーシック
脆弱性検査スキャナや弊社が開発したツールを活用して検査を行います。スキャン実施後は出力結果に誤検知の有無を確認して精査いたします。本プランは入出力が単純なWebサイトで低コスト、短期間で診断を行いたい場合に適します。
脆弱性診断ツールでは難しいページ例
※ユーザー登録ページのように1度しかできないようなページ
※認証がCaptchaや2要素など含まれているページ
※あるページの入力が次のページだけではなくその次のページにも反映されるようなページの場合(ウィザード形式のような登録画面など)
※ウェブ以外のもの絡むもの。メール送信など
ビジネス
ベーシックプランの検査に追加して、個々の機能や動作を分析し、個別の機能に対して手動で検査を実施します。脆弱性検査スキャナやツールなどでは難しい認可制御の不備やビジネスロジックの欠陥を検出するには不可欠な手法になります。
サービスプラン | ベーシック | ビジネス |
---|---|---|
基本料金 | 300,000円 | 600,000円 |
プラットフォーム脆弱性検査 | 1 IP | 5 IP |
Web(API)脆弱性検査 | ○ | ○ |
手動検査 | - | 10箇所 |
侵入検査 | - | - |
診断日数 | 4日~ | 7日~ |
※診断対象が、クラウド上などにある場合、診断前に事業者からの承諾がが必要になる場合があります。 詳しくは、各事業者にお問い合わせください。
※万が一に備え、診断前には、バックアップをお願い致します。
※上記価格は対象箇所10箇所以下での価格です。11箇所以上の場合は、追加費用が掛かります。
手動検査の箇所の定義:機能数によって1箇所のカウントがされます。1URLに2つの機能がある場合は2箇所とカウントします。
・検索リクエストの場合
ユーザーがキーワードを入力して(アクション)で検索結果が表示(実行される機能)される。
・画面表示リクエストの場合
ユーザーがWebの特定ページへアクセスする(アクション)とユーザーに関係する情報が表示(実行される機能)される。
・メール送信リクエストの場合
ユーザーが登録ボタンを押す(アクション)とメールが送信(実行される機能)される。 1つのアクションで2つ実行される機能がある場合、2リクエストとしてカウントします。
オプションサービス
報告書の説明会
作成した報告書に対してセキュリティの専門家がZoomなどによるオンライン会議で今回の報告に対しての解説をさせていただきます。報告書の内容について理解を深めたい、第三者から関係部署のメンバーへ報告行いたい場合にご利用ください。
脆弱性箇所の再検査
脆弱性診断結果で脆弱性として判定された箇所を再検査いたします。プログラムを改修後に脆弱性が検出されるか確認することを目的とします。報告書提出後の2ヶ月間を、再検査の有効期間と定め、1箇所ごとに30,000円の費用で手動診断を実施します。
診断手法概要
診断対象環境の事前調査
脆弱性診断では専用のツールを利用しますが、正確な診断を行うためには診断ツールを適切に設定しなければなりません。貴社の環境を調査してその結果に基づいて設定を行います。
※例えばWebサイトのエラー処理では40xで返される場合が多いですがレスポンスコードを隠蔽するため全て200で返すサイトもあります。その場合、エラーの判定をコンテンツ内のキーワードで見つける必要があったり、判定ロジックを変更する必要があります。またログイン機能がある場合にはその機能に合わせて認証済みエリアの判定やログイン失敗の判定方法など調整する必要があります。 このようにサイトの環境に応じて診断ツールを設定するために事前調査をいたします。
ネットワーク・サーバー診断
ターゲットのIPアドレスに対して通信プロトコル上の脆弱性や稼働しているサービスの脆弱性を調査します。OSやパッケージソフトウェアなど世の中に認識されていて既知の脆弱性が報告されている場合、その脆弱性にマッチするか確認いたします。
Webアプリケーション
Webアプリケーションに対してOWASP TOP10の脆弱性を中心に診断ツールを活用して実施いたします。ヘッダーやクエリーパラメータ、POSTデータなど入力ポイントの確認によるインジェクション攻撃を中心とする脆弱性チェック、応答データなどによるセキュリティ設定のチェックを中心に行います。
診断ツール結果の精査とリスク判定
診断ツールから出力された結果を精査し誤検知の有無を確認します。検査パケットから出力された結果をレビューし、結果の妥当性を判断します。誤検知が判定されたものや環境から発生したノイズデータは報告書には含めず、精査後の結果をレポートに含めます。また精査後の結果からリスクの判定を行います。
テストシナリオによる手動診断(ビジネスプランの場合)
検出した脆弱性に関連する脅威を特定し、あらゆる攻撃手法を駆使しながら他の脆弱性と組み合わせて、特定した脅威を引き起こせるか調査します。
専門家による報告書作成
脆弱性診断の結果は精査・リスク判定後に専門家が脆弱性の検出結果の内容に基づいて対策案を含めた形でレポートを作成します。
主要診断項目
主要診断項目 | 概要 |
---|---|
情報収集 | ソフトウェア, バージョン,ドメイン, SSL, 隠しコンテンツ 他 |
プラットフォーム | OSやネットワーク、ミドルウェアなどの脆弱性 |
認証 | 認証, アクセスコントロール, Directory Traversal, 権限昇格, ログインバイパス, Fuzzing, ロックアウト, トークン 他 |
セッション | Fixation, CSRF, Cookie, Timeout 他 |
データ検証 | SQL Injection, XSS, XML Injection, LDAP Injection, XPath Injection, OS Command Injection 他 |
設定 | 認証, アクセスコントロール, Directory Traversal, 権限昇格, ログインバイパス, Fuzzing, ロックアウト, トークン 他 |
エラーハンドリング | Fixation, CSRF, Cookie, Timeout 他 |