SSG head title

Webアプリケーション診断 概要・特長

Webアプリケーション診断概要

 ソフテックが提供するWebアプリケーション診断は、お客様のWebサイトで動作するWebアプリケーションに実際の不正アクセスを模擬した攻撃を行い、脆弱性を検出する診断です。

  脆弱性診断については、診断ツールを使った自動診断と、診断ツールを開発した当社セキュリティ・エンジニア自身が担当する手動診断の両方を合わせたハイブリッド診断のスタイルで行います。また診断結果については、Webアプリケーションに検出された脆弱性を修正するために必要な、脆弱性の原因、問題箇所、修正方法など、開発者向けの情報をまとめるだけでなく、経営者レベルの方にとって重要となる診断結果からのリスク分析についても分かりやすくまとめて報告書で提出いたします。

計画書

 診断後においても、報告書提出後1ヶ月以内であれば、診断内容に関するご質問等には電話・メールで迅速に回答させていただき、実際にお客様が行われた修正が適切に行われているかについても、無料で再診断を実施させていただきます。

Safety and Support Icon

二つの診断コース

診断の方法と診断項目

診断サービスの仕様

診断対象 Webアプリケーション
診断対象は、Webアプリケーション全般となります。通常のPC向けサイトはもちろん、携帯向けサイトやテレビ等の情報家電からアクセスするWebサイトについても、HTTP/HTTPSでアクセスするサイトに対しては診断可能です。また、検証用環境だけでなく、運用中のWebサイトに対しても診断自体は可能ですので、お気軽にご相談下さい。
診断内容 ツール診断と手動診断の両方のハイブリッド診断
診断内容は、診断ツールを使った自動診断と、診断ツールを開発した当社セキュリティ・エンジニア自身が担当する手動診断の両方を合わせたハイブリッド診断のスタイルで行います。
診断方法 リモート診断とオンサイト診断から選択
診断方法は、当社検査エリアよりインターネット経由で診断対象にアクセスする「リモート診断」と、お客様指定場所にお伺いして内部ネットワークから診断対象にアクセスする「オンサイト診断」のいずれかより選択が可能です。
診断結果報告 速報版については診断後3営業日、正式な報告書については診断後10営業日でご報告
危険度の高い脆弱性を中心にとした報告については、速報版として診断後 3 営業日で、全ての診断結果の詳細な情報については、診断結果報告書として診断後 10 営業日でそれぞれご報告いたします。
報告会
(オプション)
診断結果報告書の内容を、弊社コンサルタントがお客様に直接ご説明
お客様先に訪問し、診断結果報告書の内容について、診断作業を行ったセキュリティ・エンジニアが直接ご説明します。開発者の方からの検出された脆弱性に関する詳細なご質問や、経営者の方からの今回の診断に関する総合的なセキュリティリスクに関するご質問等、その場での質疑応答も合わせた報告会となります。
アフター
サポート
報告後における診断結果へのご質問に電話・メールで回答。またお客様で修正を行ったWebアプリに再診断を実施。(報告後1ヶ月以内)
診断結果報告書提出後1ヶ月以内において、電話・メールによるご質問への回答と、お客様が行ったWebアプリケーションの脆弱性に関する修正内容への無料再診断を行い、診断後も責任を持ってお客様をサポートさせていただきます。

ソフテックのWebアプリケーション診断の特長
(4つの安心)

診断用ツールの開発者が培った視点と確かな技術力による診断

イメージ1

 ソフテックは、セキュリティ脆弱性診断に関わる独自のソフトウェアを開発、市場に提供してきました。長年の脆弱性に関わる研究を通して、その診断技術を具現化できるソフトウェアの開発力を有する、日本でも数少ない会社です。

 ソフテックのセキュリティ・エンジニアは、このような長年の技術の蓄積により脆弱性の本質、そのメカニズムを理解しており、セッション管理脆弱性専用診断ツール「WebProbe」や、Webアプリケーション診断エンジン「WAVI」のようなセキュリティ診断ツールの自社開発を通して自身が培ったセキュリティに対する視点と技術力をベースに、高品質なWebアプリケーション診断を実現しています。ソフテックのセキュリティ・エンジニアは、こうしたセキュリティ診断ツール等の自社開発を通して技術の本質と真の脆弱性の所在を理解しています。

(ご参考)ソフテックの技術力は、診断結果の内容にも反映されます

(ご参考)「SIDfm」に蓄積されたセキュリティ情報をフル活用した脆弱性分析

業界標準の脆弱性項目を漏れなくカバーする最新の診断項目

イメージ2

 ソフテックが提供するWebアプリケーション診断は、業界標準の脆弱性項目を漏れなくカバーし、他社類似診断と較べても、その量・品質ともに最高の水準を提供できる診断内容となっております。

 OWASP(Open Web Application Security Project)、WASC(Web Application SecurityConsortium)、SANS(SysAdmin, Audit, Networking, and Security)などの代表的なセキュリティ団体が掲げる脆弱性項目は、セキュリティ業界において標準的な位置付けにあり、Webアプリケーション診断でこれらの「脆弱性項目」を網羅しているかは、「診断の品質」を量るための一つの目安となります。OWASP Top Ten Project でリストアップされている項目とソフテックの診断コースの診断項目の対応は、こちらのページをご覧下さい。

イメージ2

 ソフテックの診断では、これらの「脆弱性項目」を全て網羅しており、SQLインジェクション、クロスサイトスクリプティングを始めとするWebアプリケーションの代表的な脆弱性や、他のログインユーザへの成りすまし(セッションハイジャック)などのセッション管理の脆弱性を含む 44 種類以上の診断項目をベースに、高品質な脆弱性診断を実現しています。その中でも、例えば致命的な欠陥となり得る「セッション管理の脆弱性」については、他社の診断法では診断項目の統一化がなされていないため、診断品質にブレがあるのに対して、ソフテックは WebProbe 診断ツールの開発技術を有するため、他社に較べてより詳細な診断を行うことができます。

業界標準の脆弱性項目を漏れなくカバーする診断項目

団体名 脆弱性項目 ソフテック
対応
OWASP OWASP Top Ten Project
(https://www.owasp.org/index.php
/Category:OWASP_Top_Ten_Project)
check
WASC The WASC Threat Classification v2.0
(http://projects.webappsec.org/Threat-Classification)
check
SANS CWE/SANS TOP 25 Most Dangerous Programming Errors
(http://cwe.mitre.org/top25/)
check

診断対象を精査することでページ数を削減、診断コストをダウン

イメージ3

 ソフテックは、お客様に「無駄な支出」をお願いするようなことは決してありません。ソフテックのWebアプリケーション診断では、まず最初に診断対象となる動的ページを確定することから作業を始めます。これは実際に診断を行うページを明らかにし、そこに潜む診断時のリスクを洗い出すことと同時に、お見積を作成するために必要な作業ボリュームを確定する、という大切な目的があります。

 Webアプリケーション診断の診断対象になるのは、Webコンテンツの内容がいつも変わらない静的ページ(.html)ではなく、動的にWebコンテンツの内容をWebアプリケーションで生成する動的ページ(.jsp、.aspx、.phpなど)です。Webアプリケーションの脆弱性の悪用は、Webブラウザから送られるリクエストを不正に改竄することで初めて可能となるためです。

 診断対象を確定する際には、動的ページのカウントが必要になりますが、ソフテックでは単純にページカウントを行うのではなく、ピックアップした動的ページの精査までを行います。例えば、同じWebアプリケーションにより異なる動的ページが生成されている場合、1ページのみをピックアップし(動的ページとしてカウントし)、重複しているページは診断対象から除いていきます。これは、上記のピックアップした動的ページに脆弱性が検出された場合には、重複している動的ページにも同様の脆弱性があると判断できるためです。ソフテックのWebアプリケーション診断では、重複ページを除外することで無駄な診断作業を防ぎ、最終的に診断コストを削減することを積極的に行います。

(ご参考)「SIDfm」に蓄積されたセキュリティ情報をフル活用した脆弱性分析

診断対象以外へのアクセスも診断用PC上のアクセス制限で未然に回避

安全診断

 ソフテックのWebアプリケーション診断では、診断対象に対する事前調査を徹底的に行い、診断時に発生する可能性があるリスクについて漏れなくピックアップして、安全診断に努めます。ソフテックのWebアプリケーション診断では、事前調査の段階で診断対象としていないWebページに対して、診断中に誤ってアクセスした場合でも、実際の診断用リクエストが発生しないように、診断用PC上でアクセス制限を行っています。

 万が一、診断に関係のない第三者のサイトに間違って診断用の疑似リクエストを発行しても、そのリクエストは第三者のサイトに届く前に診断用PCのところで止められるため、診断中のケアレスによる不正アクセスが発生する事故を未然に防ぐことができます。

(ご参考)
 徹底した事前調査により診断時のリスクを回避
 Webアプリケーション診断 フロー