脆弱性診断

サーバー上で稼働する OS やアプリケーションに、プログラム設計、開発時に制作者の意図しない部分で内包されてしまったエラーや不整合などによって生じる、情報セキュリティにおける潜在的な欠陥の事を「脆弱性(セキュリティ・ホール)」と呼びます。
プログラム制作者、管理者が想定しえない、通常の使用では行わない様な操作方法などによって、「脆弱性」は気付かない内に発生する可能性があり、脆弱性をゼロにする事は極めて難しいと言えます。
また、脆弱性を内包、放置した状態でサーバーを利用し続けていると、外部からの悪意ある攻撃などによって、企業にっとっては許されない情報セキュリティにおける致命的なリスクを発生させる危険性があります。
この様な、セキュリティリスクを未然に防ぐ為、WEBページ、アプリケーション等のサービスに対して、悪意ある第三者によるクラッキング（攻撃）を想定し、疑似的に実行する事によって、サービスの問題点を洗い出し、安全性を調査する診断方法が「脆弱性診断（セキュリティ診断）」と呼ばれています。

近年のサイバー攻撃の増加により、企業のセキュリティ管理は、より強固なモノが求められております。運用中のサービスが脆弱性を内包していた場合、悪意ある第三者に狙われ、システムを改ざんされたり、個人情報、お客様情報の漏洩といったリスクがあるばかりではなく、サーバー自体を乗っ取られたり、他のサーバーの攻撃に使用され、ネット犯罪に加担させられる恐れもあります。この様な事態が起こってしまってからでは、どんなセキュリティ対策も間に合わず、企業の信頼に大きく損なう事となりかねません。そんなリスクを事前に調査し、被害が広がらない様に未然に防ぐ為にも、定期的な脆弱性の洗い出し＝脆弱性診断は欠かせないセキュリティ対策だといえます。

弊社のパートナー企業である「CyberMatrix」社の、経験豊富なセキュリティ専門家によるWebアプリケーション、ネットワーク、IoTの脆弱性を検査するサービスです。

脆弱性診断ツールによる検査が中心になります。本プランは低コストで短期間で診断を行いたい場合に適します。

脆弱性診断ツールに加えて、個々の機能のフローを専門家が把握し、診断シナリオを作成して試験を実施いたします。脆弱性診断ツールでは難しい認可制御の不備やビジネスロジックの欠陥を検出するには不可欠な手法になります。

※ユーザー登録ページのように１度しかできないようなページ

※認証がCaptchaや2要素など含まれているページ

※あるページの入力が次のページだけではなくその次のページにも反映されるようなページの場合（ウィザード形式のような登録画面など）

※ウェブ以外のもの絡むもの。メール送信など

Web脆弱性診断	ビジネス	ベーシック
標準価格	600,000円	300,000円
標準診断ボリューム	自動診断(10リクエスト)手動診断(5リクエスト)	自動診断(10リクエスト)
追加料金（自動診断）	15,000円/リクエスト
追加料金（手動診断）	30,000円/リクエスト	-
診断日数	5日～	2日～
オプションサービス	あり	なし

※検査はリモートから実施いたします。オンサイトで実施が必要な場合は期間や訪問先所在地、作業条件に基づいて別途お見積もりいたします。

※上記価格は、動的ページ 10 ページ未満での価格です。10 ページ以上の場合は、追加費用がかかります。

※ユーザー種別は、1種類です。管理者アカウント、一般ユーザーアカウントのように２種類ある場合は、追加費用がかかります。

※診断対象が、クラウド上にあれば、診断前に、クラウド業者からの承諾が必要になります。

※万が一に備え、診断前には、バックアップをお願い致します。

※「リクエスト」とは、あるアクションをトリガーに「実行される機能」と考えます。

・検索リクエストの場合
ユーザーがキーワードを入力して（アクション）で検索結果が表示（実行される機能）される。
・画面表示リクエストの場合
ユーザーがWebの特定ページへアクセスする（アクション）とユーザーに関係する情報が表示（実行される機能）される。
・メール送信リクエストの場合
ユーザーが登録ボタンを押す（アクション）とメールが送信（実行される機能）される。 1つのアクションで2つ実行される機能がある場合、2リクエストとしてカウントします。

作成した報告書に対してセキュリティの専門家が訪問またはZoomなどによるリモートサイトからのミーティングで今回の報告に対しての解説をさせていただきます。報告書の内容の理解を深めたい、関係部署のメンバーを含めて認識を共有したく第3者からの説明が必要な場合にご利用ください。

今後どのように脆弱性を修正して行けば良いのか、またどのように設計を見直せば良いのか、弊社の専門家が貴社のビジネスやシステム環境を理解して、ご支援いたします。コンサルティングの範囲、ご要望に合わせて別途お見積もりいたします。

脆弱性診断結果で脆弱性として判定された箇所を再検査いたします。プログラムを改修後に脆弱性が検出されるか確認することを目的とします。 報告書提出から６ヶ月以内の検査が必要になります。 1件あたり15,000円で手動診断を実施します。

脆弱性診断では専用のツールを利用しますが、正確な診断を行うためには診断ツールを適切に設定しなければなりません。貴社の環境を調査してその結果に基づいて設定を行います。

※例えばWebサイトのエラー処理では40xで返される場合が多いですがレスポンスコードを隠蔽するため全て200で返すサイトもあります。その場合、エラーの判定をコンテンツ内のキーワードで見つける必要があったり、判定ロジックを変更する必要があります。またログイン機能がある場合にはその機能に合わせて認証済みエリアの判定やログイン失敗の判定方法など調整する必要があります。 このようにサイトの環境に応じて診断ツールを設定するために事前調査をいたします。

ターゲットのIPアドレスに対して通信プロトコル上の脆弱性や稼働しているサービスの脆弱性を調査します。OSやパッケージソフトウェアなど世の中に認識されていて既知の脆弱性が報告されている場合、その脆弱性にマッチするか確認いたします。

Webアプリケーションに対してOWASP TOP10の脆弱性を中心に診断ツールを活用して実施いたします。ヘッダーやクエリーパラメータ、POSTデータなど入力ポイントの確認によるインジェクション攻撃を中心とする脆弱性チェック、応答データなどによるセキュリティ設定のチェックを中心に行います。

診断ツールから出力された結果を精査し誤検知の有無を確認します。検査パケットから出力された結果をレビューし、結果の妥当性を判断します。誤検知が判定されたものや環境から発生したノイズデータは報告書には含めず、精査後の結果をレポートに含めます。また精査後の結果からリスクの判定を行います。

テストシナリオを作成して手動で診断を実施いたします。自動診断では難しい認証・認可制御の不備やビジネスロジックの欠陥などを検出することは非常に難しくなります。専門家がハッカーの視点にたって出力結果に応じてページの関連性などを見抜いて脆弱性を探していく場合がございます。

脆弱性診断の結果は精査・リスク判定後に専門家が脆弱性の検出結果の内容に基づいて対策案を含めた形でレポートを作成します。

主要診断項目	概要
情報収集	ソフトウェア, バージョン,ドメイン, SSL, 隠しコンテンツ 他
認証	認証, アクセスコントロール, Directory Traversal, 権限昇格, ログインバイパス, Fuzzing, ロックアウト, トークン 他
セッション	Fixation, CSRF, Cookie, Timeout 他
データ検証	SQL Injection, XSS, XML Injection, LDAP Injection, XPath Injection, OS Command Injection 他
設定	認証, アクセスコントロール, Directory Traversal, 権限昇格, ログインバイパス, Fuzzing, ロックアウト, トークン 他
エラーハンドリング	Fixation, CSRF, Cookie, Timeout 他