 |
ソフテックは、WAS
(Web Application Security)
フォーラムの実行委員として
活動しています。 |
|
| 各種セキュリティサービスに関するご質問の方は、こちらからお問い合わせください |
|
|
 |
|
|
|
|
「ハイセキュリティ」+「妥当な価格」を実現したプロフェッショナルサービス
|
 |
|
|
|
|
弊社が持つ独自のノウハウとWebアプリケーション脆弱性検査ツールを自社で開発した弊社エンジニアの高いスキルから生まれる 「ハイセキュリティ」 と、多くの検査実績によって得たノウハウによる徹底した作業の効率化によって実現できる 「妥当な価格」 の両面を兼ね備えた、Webアプリケーションの脆弱性検査に特化したプロフェッショナルサービスです。
|
|
|
|
|
|
|
インシデントの件数と攻撃の傾向ワースト5 (WASC 脅威分類による)
|
| WASC 攻撃の細分類 |
WASC 大分類 |
個数 |
|
| クロスサイトスクリプティング |
クライアント側での攻撃 |
53 |
|
| SQLインジェクション |
コマンドの実行 |
22 |
|
| 不適切な承認 |
承認 |
19 |
|
| 証明書・セッションの推測 |
承認 |
16 |
|
| 不明 |
不明 |
36 |
|
|
| 2007年8月現在 |
| 現在のインシデントの動向の詳細につきましては、以下の記事をご覧ください。
|
|
|
|
|
上に示した表は、WebハッキングされたインシデントをWASC脅威分類での攻撃方法ワースト5を表したものです。日本においては、Webアプリケーションの脆弱性への脅威として、「クロスサイトスクリプティング」や「SQLインジェクション」等による攻撃リスクのみを話題にする傾向が多いようですが、Webアプリケーションへの攻撃の手口は、上図のとおり多岐に渡ります。「SQLインジェクション」は、確かに大量に情報が漏洩するリスクとして注意すべき脅威ですが、実は、それ以上にセッション管理に係る欠陥に対する攻撃数が多いことが分かります。上記の表では、背景がクリーム色のものが相当します。
一般に、Webアプリケーションの脆弱性検査は、「スキャン方式」のツール等によってのみ行う風潮がありますが、上記の統計データで示したとおり、現在の攻撃方法が「セッション管理系の脆弱性」の盲点を突いたものの比率も大きいため、基本的な検査として必ず、「セッション管理系の検査」を行うべきです。 ソフテックのWebアプリケーション脆弱性検査サービスは、スキャン方式で検出可能な検査だけでなく、セッション管理に係る脆弱性の検査も含めて行う、ハイセキュリティな検査サービスを提供します。
|
|
|
弊社がご提供する「Webアプリケーション脆弱性検査サービス」は、ご予算にかかわらずお客様がご利用しやすい低コストと、検査ツールだけでは発見できない脆弱性を手動で検出する高品質なサービス内容の両方を実現できる、Webアプリケーションの脆弱性検査に特化したプロフェッショナルサービスです。
|
|
|
 |
|
サービス実績
