Webアプリケーション脆弱性診断サービス

増え続けるWebアプリケーションからの情報漏えい

Webアプリケーションは、そのほとんどが独自に作成されたカスタムアプリケーションです。単一のパッチなどを適用すれば対策できるものではないため、パッケージソフトウェアなどと比較して脆弱性が存在する確率が高く、また、インターネット上に公開されているため攻撃者にとって狙いやすいターゲットです。最近の攻撃者は、金銭的価値のある重要情報の窃取が目的なことが多く、攻撃しやすいところから狙いを定める特性があります。

Webアプリケーション脆弱性診断サービス

テクマトリックスが提供するWebアプリケーション脆弱性診断サービスは、お客様が保有するWebアプリケーションに対し、弊社エキスパートが診断を行うサービスです。セキュリティだけでなく、アプリケーション開発のノウハウを持ったエキスパートが、お客様のWebアプリケーションに網羅性の高い診断を提供します。リリース前のダイナミック(動的)診断だけでなく、ソースコードに対するスタティック(静的)診断のプランもご用意しております。

Dynamic(動的)診断サービス

リリース前など、組みあがったWebアプリケーションに対する診断を実施するサービスです。
ダイナミックプラン

Webアプリケーション脆弱性診断ツールを活用した脆弱性診断に加え、アプリケーションのロジックなども踏まえた手動での診断も実施します。テクマトリックスにて診断結果の精査・分析を行った上で結果を報告します。


  • 対象Webアプリケーションに対する専門的な検査を実施します。
  • 網羅性の高い検査に加えて、手動による高度なセキュリティ診断を実施します。

ポイント

Dynamic(動的)診断イメージ



Static(静的)診断サービス

ビルド済みWebアプリケーションのソースコードに対する診断を実施するサービスです。
スタティックプラン

ツールを利用したソースコードに対する脆弱性診断を実施し、より早期かつ潜在的な脆弱性も含めた結果を報告します。


  • Dynamicと比べて、開発工程の早期段階での検査が可能です。
  • 修正が必要な箇所はソースコードの行までピンポイントで指摘することができます。

ポイント

Static(静的)診断イメージ



主な診断項目

診断項目 ダイナミック
プラン
スタティック
プラン
クロスサイトスクリプティング
SQLインジェクション
クロスサイトリクエストフォージェリ  
OSコマンドインジェクション
CRLFインジェクション
パストラバーサル
セッションフィクセーション  
バッファオーバーフロー
書式文字列攻撃
脆弱なパスワードポリシー  
パスワードリセットの不備  
アクセス制御の問題  
権限拡張  
ファイルアップロードに関わる問題
ビジネスロジックに起因する問題  
コードインジェクション  
暗号の問題  
カプセル化  
エラーハンドリング  

サービスの流れ

①ヒアリング

テクマトリックスにて用意したヒアリングシートを元に、Webアプリケーションの仕様や画面遷移、その他診断に必要な情報をヒアリングします。

②シナリオ作成

ヒアリングを行った情報を元に、テクマトリックスにて診断のシナリオを作成します。
※ スタティックプランの場合はソースコードをご提供頂きます。

③診断実施

対象Webアプリケーションに対して診断を実施し、結果を出力するとともに、緊急度の高いものについては速報をメールにてお知らせします。

④結果分析

診断結果を元に、発生確率や被害の影響度を分析し、対策の優先度まで含めた診断結果報告書を作成します。

⑤報告会

作成した報告書をベースに報告会を行い、各種対策のためのアドバイスや診断結果に対するQAを実施します。(QAは報告後1ヵ月間までサポートします)

診断結果報告書

脆弱性の内容だけでなく、リスクの分析、対策の優先度を踏まえた形で作成した診断結果報告書を納品します。

診断結果報告書

定期診断/チケット診断

個別の診断だけでなく、定期的な診断やチケット制での診断もご用意しております。

DOWNLOAD 資料ダウンロード

脆弱性診断サービスに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業2課

    03-4405-7869

メールでのお問い合わせ
watchfire@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。