申込から診断開始までどれぐらいの日数が必要ですか？

案件のボリュームにも寄りますが、最短でお問い合わせいただいて２週間を目安に着手が可能です。

セキュリティ診断の実績はどれぐらいありますか？

サービスを提供開始してから20年以上の実績がございます。

本サービスは公的な基準への適合認定を受けていますか？

経済産業省「情報セキュリティサービス基準適合サービス」として認定されております。

外部からアクセスできない環境に対して診断可能ですか？

弊社の診断元IPアドレスから診断対象環境に対してアクセス許可をいただければ診断可能です。
上記が難しい場合、診断対象環境にアクセスできる場所まで伺い、オンサイトでの診断も可能です。

再診断は可能ですか？

再診断可能となります。御見積の際にお申し付けください。

診断報告書の内容に不明点がある場合のサポートはありますか？

報告会の中に質疑応答を設けておりますが、報告会の終了後はメールでも約１ヶ月間Q&A対応をいたします。

どんな脆弱性を発見できますか？

主に以下の脆弱性を診断できます。詳細はお問合せください。

• クロスサイトスクリプティング
• SQLインジェクション
• クロスサイトリクエストフォージェリ
• OSコマンドインジェクション
• CRLFインジェクション
• パストラバーサル
• セッションフィクセーション
• バッファオーバーフロー
• 書式文字列攻撃
• 脆弱なパスワードポリシー
• パスワードリセットの不備
• アクセス制御の問題
• 権限拡張
• ファイルアップロードに関わる問題
• ビジネスロジックに起因する問題
• コードインジェクション

本番環境への診断は可能ですか？

基本的にはテスト環境・検証用環境への診断を推奨しております。一度ご相談ください。

SPA(シングルページアプリ)への診断は可能ですか？

診断可能です。

APIへの診断も可能ですか？

診断可能です。APIの認証・入力値チェック・レスポンスの安全性を検証いたします。

複数ドメイン・サブドメインも診断可能ですか？

診断対象として申告いただければ、複数ドメイン対応可能です。

お見積にはどのような情報が必要ですか？

弊社で用意しているヒアリングシートへのご記入と画面遷移図や画面一覧等の資料がございましたらご提供ください。オンサイトでの診断をご希望の場合にはその旨をお伝えください。

どういった手法で診断を行っていますか？

AppScanでのツール診断と手動診断を組み合わせて診断を行います。

どんな脆弱性を発見できますか？

主に以下の脆弱性を診断できます。詳細はお問合せください。

＜通信＞

• 通信プロトコルの確認
• 脆弱な暗号化方式の利用
• サーバ証明書の不備
• HTTP通信による重要情報送信
• WebViewを通じたアプリ乗っ取り

＜アプリ解析＞

• リバースエンジニアリング による脆弱性解析
• マニフェストファイルの設定
• コンポーネントの公開設定不備
• Root検知

＜端末内データ格納＞

• データの漏洩
• スクリーンショット
• SDカードへの機密情報の出力
• パーミッションの設定不備
• ログの出力内容
• バックアップ操作による情報抽出
• 秘密情報の埋め込み

本番環境への診断は可能ですか？

基本的にはテスト環境・検証用環境への診断を推奨しております。一度ご相談ください。

アプリだけでなくサーバサイドも診断可能ですか？

可能です。サーバサイドのAPIはWebアプリケーション診断にて対応します。

ライトプラントスタンダートプランの違いは何ですか？

ライトプランではapkファイルまたはipaファイルの静的解析を行い、基本的な構成の問題や設定ファイルの確認を行います。スタンダードプランでは静的解析に加えて端末にインストールしたスマホアプリを操作して、実際の通信の内容やアプリの挙動、端末内のデータなどを調査いたします。

それぞれのプランで推奨するアプリはどのようなアプリですか？

ライトプランは機密情報を保持しないニュースアプリや検索アプリを想定しております。スタンダードプランは機密情報を保持しているアプリ、EC機能を持った決済用アプリや会員向けのアプリ等を想定しております。

診断できないアプリはありますか？

ゲームアプリ特有の診断は原則対象外となります。

お見積にはどのような情報が必要ですか？

診断対象アプリケーションの詳細とご希望のプランをご提示ください。。

診断対象アプリの数はどのようにカウントしますか？

診断対象にiOS版とAndroid版のアプリが存在する場合は、2つとしてカウントします。

診断対象アプリの受け渡し方法の指定はありますか？

apkファイル、ipaファイルを弊社宛にご送付ください。

どんな脆弱性を発見できますか？

主に以下の脆弱性を診断できます。詳細はお問合せください。

＜設定の不備＞

• 不要サービス
• オープン・ポート挙動確認
• サーバー・バナーからの情報漏洩
• 設定不備による情報漏洩
• 特定サーバー機能の悪用

＜アクセス制御の不備＞

• 認証設定 ネットワークアクセス制御

＜脆弱性対応＞

• 既知の脆弱性

ファイアウォールやルーターも対象ですか？

診断対象となります。

社内ネットワークも診断できますか？

オンサイトの診断であれば、可能です。

本番環境への診断は可能ですか？

診断可能です。

複数ドメイン・サブドメインも診断可能ですか？

診断対象のIP数をご提示ください。オンサイトご希望の場合にはその旨をお伝えください。

どんな脆弱性を発見できますか？

例えば以下の脆弱性を診断できます。詳細はお問合せください。

＜IAM＞ 長期間使用されていない認証情報、パスワードの最低文字長ポリシー
＜EC2＞ EC2メタデータサービスにおけるIMDSv2使用の強制
＜VPC＞ 管理用ポートのパブリックへの公開
＜RDS＞ データの暗号化
＜S3＞ パブリックアクセスのブロック
＜CloudWatch＞ 特定のイベントの監視
＜CloudTrail＞ 全リージョンでのCloudTrailの有効化

対象となるAWSサービスを教えてください。

IAM、S3、EC2、RDS、VPC、RDS、S3、CloudWatch、CloudTrailとなります。

診断にあたり何か用意することはありますか？

環境への読み取り権限を付与したIAMユーザーのご用意をお願いいたします。

お見積にはどのような情報が必要ですか？

対象AWSアカウント数、リージョン数、Cloud Trail証跡数、EFSファイルシステム数、S3バケット数をご提示ください。