セキュリティ診断 / Security Assessment

セキュリティ診断(脆弱性診断)とは

Webアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断するものです。外部に公開するサーバーやアプリケーション、データベース、スマートフォンアプリケーションを主な診断対象としており、お客様のシステムを安心かつ安全に維持するためのご支援をおこないます。

スプラウトの強み

手動診断の圧倒的な品質の高さ

多くの診断会社では、ツール診断のみやこれに簡易な手動診断を組み合わせるに留まるケースが多くなっていますが、それで発見できる脆弱性は全体の一部にすぎません。今や多くのサイトで実装されている直接DOM(Document Object Model)を変更する動的コンテンツや、多岐にわたるミドルウェアやフレームワークなどは診断方法が複雑であったり、ある程度セキュリティを考慮した課金システムなどの脆弱性の発見には、蓄積された高度なノウハウが必要です。スプラウトのセキュリティエンジニアは、豊富な経験に基づいた知見、独自の視点、システム全体に対する深い理解を武器に、過去多くの脆弱性を見つけてきました。 高度な手動診断のため診断対象のシステムが複雑になるほどに品質の違いをご提供します。

柔軟に様々なプロトコルに対応

多くのアプリケーションは HTTP/HTTPS を用いた通信を用いているため、診断は難しくありません。また、それらをサポートするツールも多く市場に公開されています。ただし、セキュリティを重要視する設計をしたり、より複雑なアプリケーションを構築した場合、独自のプロトコルやバイナリデータで通信を行う場合も少なくありません。そのようなアプリケーションを数多く診断した経験を持つ弊社では、既存、独自にかかわらず様々なプロトコルに対しても手動診断にて徹底的に調査します。

セキュリティ診断の種類

Webアプリケーション診断

Web アプリケーションの安全性を調査します。WebブラウザやWeb サーバだけでなく、Web 技術を使用するアプリケーションをくまなく調査します。増加するWeb サーバを踏み台にした情報漏えいや脆弱性を用いた個人情報の窃取などを防ぎます。

スマートフォンアプリ診断

主に iOS / Android 端末上で動作するアプリケーションの安全性を調査します。不適切な権限の要求やSD カードへの個人情報のエクスポートなどを調査します。

ネットワーク診断

診断対象となるサーバやネットワーク機器に対して、不正アクセスという観点で侵入手法を考察/試行し、安全性を調査します。

組込デバイス/IoT機器診断

インターネットに接続される機器に対して、不正アクセスという観点で侵入手法を考察/試行し、安全性を調査します。主にEthernetやWiFi、およびBluetoothの各種プロトコルを用いたデバイスを調査します。

全体の流れ

数日~1週間
申込み
NDA
お見積り
契約
事前準備
テスト内容
による
テスト実施
1週間
報告書
ご希望に応じ
有料で実施
報告会
ご請求

報告書

診断終了後に以下の構成で報告書を提出いたします。

  • 調査概要
    調査の実施事項についての記載(調査のスコープ、調査日時)
  • 総評
    テストの結果について、総合評価指数、およびコメントを記載
  • 個別結果/対応方法
    脆弱性別の対象箇所、結果、再現方法、対応方法を記載

診断日数・価格

診断内容により異なりますのでお問い合わせください。大まかな目安については以下をご覧ください。

Webアプリケーション診断
10リクエスト/日
20万円/日
スマートフォンアプリ診断
通常5日間/1App
100万円〜
ネットワーク診断
5IP/日
20万円/日
組込/IoTデバイス診断
応相談

お問い合わせ