セキュリティ診断

脆弱性診断の本当のゴールは脆弱性の存在を知り適切な対応を行うことです。

高精度セキュリティツールと豊富なスキルとノウハウを有するエンジニアによるマニュアル診断を組み合わせた複合的な診断を行います。診断結果ご報告の際には、具体的な修正ポイントまで含めて適切な対策をご提案します。

診断実施フロー

<診断準備期間>申し込み、事前打ち合わせ <診断実施期間>診断実施、速報の提出 <報告および修正期間>報告書提出

※報告書提出後も原則1ヵ月間サポート対応

診断項目例

Webアプリケーション脆弱性診断
認証系
  • 総当たり攻撃
  • 不適切な認証
  • 脆弱なパスワード
承認系
  • 証明書とセッションの推測
  • 不適切な承認
  • 不適切なセッション期限
  • セッションの固定
クライアント側での攻撃
  • コンテンツの詐称
  • クロスサイトスクリプティング
コマンド実行
  • バッファオーバーフロー
  • 書式文字列攻撃
  • LDAPインジェクション
  • OSコマンド実行
  • SQLインジェクション
  • SSIインジェクション
  • Xpathインジェクション
情報公開
  • ディレクトリ一覧の表示
  • システム情報の漏洩
  • パスの乗り換え
  • 推測可能なリソースの位置
ロジックを狙った攻撃
  • 機能の悪用
  • サービス拒否
  • 不適切な実行プロセス
プラットフォーム/ネットワーク脆弱性診断
不正侵入
  • 不正ログイン
  • リモートからのプログラム実行
  • 権限の奪取
  • アクセス制御の不備
  • バックドアプログラムの存在
サービス妨害
  • サービス妨害・停止
  • Dos攻撃
情報漏洩
  • 不要なサービス
  • サーバプログラムのバージョン取得
  • 設定不備によるシステム情報漏洩
  • 既知の脆弱性による情報漏洩

こんなお客様に

  • 自社システムのセキュリティレベルを把握したい
  • セキュリティ製品とシステムの改修を効果的に組み合わせたい
  • 監査対応のために、第三者からのセキュリティチェックが必要

効果・ポイント

  • Webセキュリティとアプリケーション開発知識の両面に精通した診断技術員
  • システム構築・運用の経験を持つエンジニアによる診断
  • 診断前の入念な準備
  • 脆弱性診断ソフトウェアと手作業を組み合わせた複合的な診断手法
  • グローバル対応
  • 500社以上の脆弱性診断実績