SSG head title

ソフテックの基本診断サービス

Webセキュリティサービス全容

三つの診断サービス

 ソフテックが提供する脆弱性診断サービスには、「基本診断サービス」と位置づけられた3つの診断サービスがあります。以下に示す3つの基本診断サービスは、それぞれの対象箇所に潜在する脆弱性を特定し、適切に修正するために必要な情報を報告書で分かりやすくお客様に提示する役割を持っています。

SSG mark

 また、Webサイト全体のセキュリティの確保という観点から考えた場合、Webアプリケーションやサーバ単体だけでなく、Webサイト全体としてのセキュリティリスクを正しく把握した上で、適切なコスト、適切な内容で総合的な対策を行うことが、Webサイトを安全に運用していく上で最も重要なアイテムと言えます。

 ソフテックでは、Webサイト全体のセキュリティを保持するために、予算や目的に合わせた診断ソリューション、サービス、そして診断ソフトウェアから構成される診断コースを多数ご用意しておりますが、3つの基本診断サービスは、このような診断コースを実現するための基盤サービスという位置付けにあり、ソフテックの診断サービスの中核をなすものとなります。

Icon

 Webサイトで動作するWebアプリケーションに、実際の不正アクセスを模擬した攻撃をネットワーク経由で行い、Webアプリケーション特有の脆弱性を検出する診断サービスです。

more
Icon

 サーバやネットワーク機器で動作するOS・サーバ・アプリケーションに、実際の不正アクセスを模擬した攻撃をネットワーク経由で行い、潜在する脆弱性を検出する診断サービスです。

more
Icon

 ネットワーク経由ではなく直接サーバにログインを行い、サーバ内部における設定内容やサービスの稼働状況、パスワード強度やパッチ適用状況などの、現在のサーバ構成に潜在する脆弱性を検出する診断サービスです。

more
選べる診断コース

選べる診断コース

予算と用途に応じて「深く診断、選べる診断コース」をご提供いたします

more

Webアプリケーション診断サービスの作業フロー

 Webアプリケーション診断は、大きく分けて4つのフェーズの作業ブロックに分けることができます。

schedule

1. 事前調査

 診断を行う際に必要となる情報収集やその検証、さらには診断時に発生する可能性があるリスクを事前に徹底的に洗い出すことで、お客様と当社が安心して診断を実施できるための事前準備を行います。

2. 診断実施

 事前調査で準備を行った情報を元に、診断対象に対してソフテックのセキュリティ・エンジニアが高品質な脆弱性診断を行います。

3. 報告書作成

 脆弱性診断における診断結果について、検出された脆弱性の修正を適切に行うために必要な情報を報告書にまとめ、迅速に報告いたします。

4. アフターサポート

 報告書提出後1ヶ月以内において、電話・メールによるご質問への回答と、お客様が行ったWebアプリケーションの修正内容への無料再診断を行い、診断後も責任を持ってお客様をサポートさせていただきます。

 基本診断サービスにおけるサービス業務の流れと、その各フェーズでの詳細な実施内容について、Webアプリケーション診断を例にとり説明します。以下をご覧下さい。

Webサイトに関わる脆弱性の診断項目詳細

 各基本診断サービスの診断項目の詳細については、以下のページをご覧下さい。

ソフテックの診断サービスの特長

 この分野の診断サービスが一般的になる以前の1998年から実績を重ねてきた、ソフテックが提供する脆弱性診断サービスの特長を説明します。

診断用ツールの開発者が培った視点と確かな技術力による診断

イメージ1

 ソフテックは、セキュリティ脆弱性診断に関わる独自のソフトウェアを開発、市場に提供してきました。長年の脆弱性に関わる研究を通して、その診断技術を具現化できるソフトウェアの開発力を有する、日本でも数少ない会社です。

 ソフテックのセキュリティ・エンジニアは、このような長年の技術の蓄積により脆弱性の本質、そのメカニズムを理解しており、セッション管理脆弱性専用診断ツール「WebProbe」や、Webアプリケーション診断エンジン「WAVI」のようなセキュリティ診断ツールの自社開発を通して自身が培ったセキュリティに対する視点と技術力をベースに、高品質な診断サービスを実現しています。

(ご参考)他社類似サービスと較べ、量・品質ともに最高の水準を提供できる診断項目・内容

(ご参考)ソフテックは、より詳しく診断内容の説明を行います。診断報告書の内容とは?

徹底した事前調査により診断時のリスクを回避

イメージ2

 ソフテックの診断サービスでは、診断対象に対する事前調査を徹底的に行い、診断時に発生する可能性があるリスクについて漏れなくピックアップします。

 例えば、Webアプリケーション診断サービスの場合、まず最初に、診断対象となる動的ページのピックアップ内容を元に、実際の診断時のリスクとなるような箇所を洗い出します。例えば、運用中のECサイトにおいてクレジットカード決済を行うページがあった場合、実際の決済処理が行われる事故を事前に防ぐため、そのリクエスト内容について必ず事前にお客様に確認を行い、例えばそのページだけを検証環境で診断を行う等、安全に診断を行うための回避策を事前にご提案します。

 診断対象サイトの状況が診断作業に影響を及ぼす可能性がある場合には、事前に対策を検討します。例えば、運用中のECサイトでアクセスが集中する時間がある場合、診断によってアクセスしたユーザへの影響が出ることは絶対に避けなければならないため、アクセスが集中する時間帯を避けて診断を実施するための作業スケジュールの調整を事前にご提案します。

診断終了後のフォローも万全、安心のアフターサポート

イメージ3

 一般的な診断サービスの場合、脆弱性診断を行い、その結果をまとめた報告書を提出して終了とい0OBうスタイルが多く見受けられますが、Webサイトのセキュリティを確保するという観点で考えた場合、実は診断後の修正作業が一番重要なフェーズであると言えます。

 報告書を元にWebアプリケーションの修正を行ったが、修正後に確認した箇所が適切に修正されていないため脆弱性が残ってしまっている状態や、取りあえず修正までは行ったが本当に正しく修正されているか不安である、という、いわゆる診断は行ったがその結果を適切に修正作業に反映できない、この状況を何とか改善してWebアプリケーションの修正を完了したい、というお客様の欲求不満の声を耳にします。

 ソフテックでは、診断サービスを受けていただいたお客様に対して、万全のアフターサポートを行います。具体的には、報告書提出後1ヶ月以内にいただいた報告書の内容に関するご質問については、診断を行ったセキュリティ・エンジニアが電話・メールで回答をさせていただきます。また、納入後(報告書提出後、または報告会実施後)1ヶ月以内においてご連絡をいただいた場合、お客様が実施したWebアプリケーションの修正内容について確認させていただき、適切に修正が行われているかのチェックを実施させていただきます。このようなアフターサポートにより、お客様がWebサイトを安全にリリース・運用していただくまで、一貫したサポートをさせていただきますので、安心してサービスをご利用下さい。

(ご参考)ソフテックのアフターサポート体制について

「SIDfm」に蓄積されたセキュリティ情報をフル活用した脆弱性分析

イメージ4

 ソフテックの診断サービスでは、OS・サーバ・アプリケーションに潜在するセキュリティホールについて、ソフテックが開発し、毎日運営を行っている脆弱性対策支援サービス「SIDfm」のデータベースに蓄積された脆弱性情報や CVSS2.0/3.0 による評価、影響度、危険度、対策パッチ等に関する情報など、診断対象に関するセキュリティホールに関するあらゆる情報を活用し、より詳細な脆弱性分析を行っております。

 例えば、「SIDfm」を利用して診断対象に潜在するセキュリティホール情報を事前調査を行い、セキュリティホールに関するexploitコードを事前に入手しておけば、診断時にexploitコードを実際に使ったアクセスを行うことで、一般的な診断ツールの診断結果に加えて、実際のexploitコードによる攻撃への耐性についても確認することができることが可能です。