Security Testing

セキュリティ診断(脆弱性診断)

セキュリティ診断(脆弱性診断)とは

Webアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスを対象に、サイバー攻撃の糸口となる脆弱性が潜んでいないかをホワイトハッカーが技術的に診断します。システムを安心かつ安全に維持するために、今もっとも求められるセキュリティ対策のひとつです。

セキュリティ診断(脆弱性診断)とは 1.Webアプリケーション診断 2.スマートフォンアプリ診断 3.ネットワーク診断 4.組み込みデバイス・IoT機器診断
  1. 1

    Webアプリケーション診断

    企業のWebサイト等で使用されている、PHP、Perl、Ruby、Javaなどで開発されたWebアプリケーションに問題がないかを網羅的に診断します。脆弱性の診断を行うことで、近年急増している個人情報の流出や、踏み台攻撃に悪用される可能性がないかどうかを確認します。近年流行しているREST APIを使用した実装についても対応しています。

  2. 2

    スマートフォンアプリ診断

    主にiOS・Android端末上で動作するアプリケーションの安全性を診断します。不適切な権限の要求や端末内のデータ改竄、SDカードへの個人情報の出力といったことがないかなどを診断します。また、APIサーバーについても、不正通信が発生しないか、サーバー環境に問題はないか、セッション管理に問題はないかなども確認します。

  3. 3

    ネットワーク診断

    対象ネットワークに存在するサーバーやネットワーク機器に対して、脆弱性や設定不備がないか診断します。不正アクセスという観点で侵入手法を考察・試行することで、実際の攻撃を防げるかどうかの確認が行えます。

  4. 4

    IoT/組込デバイス診断

    インターネットに接続されるIoT機器/組込デバイスの安全性を診断します。主にEthernetやWiFi、Bluetoothなどの各種プロトコル、ファームウェア、DoSテストなどの確認を行います。カーナビゲーションなどの車載デバイス、複合プリンター(MFP)、スマート家電、スマートロック、Webカメラなど様々なデバイスに対応可能です。

手動診断による高い品質を保証

  • 手動診断でしか実現できない品質の高さ

    ひとくちにセキュリティ診断(脆弱性診断)と言っても、市販のチェックツールを使っただけのものを提供する会社も少なくありません。しかし、それで発見できる脆弱性は全てではありません。今や多くのサイトで実装されている直接DOM(Document Object Model)を変更する動的コンテンツや、多岐にわたるミドルウェアやフレームワークなどは診断方法が複雑で、特にセキュリティを考慮して開発された課金システムなどから脆弱性を発見するには高度なノウハウが必要です。スプラウトのセキュリティエンジニアは、豊富な経験に基づいた知見、独自の視点、システム全体に対する深い理解を武器に、過去多くの脆弱性を見つけてきました。 複雑なシステムに対しても、高い品質の診断をご提供します。

  • 柔軟に様々なプロトコルや環境に対応

    セキュリティを重視した設計であったり、より複雑なアプリケーションを構築した場合などでは、HTTP/HTTPS以外の独自のプロトコルやバイナリデータで通信を行う場合も少なくありません。スプラウトでは、そのようなアプリケーションに対しても数多くの経験を持ち、既存・独自に関わらず様々なプロトコルに対して手動診断を行うことができます。また、従来のオンプレミスのシステムだけではなく、AWSやAzure等のパブリッククラウド上のシステムに対する診断も承っています。

チーム

セキュリティ診断に関わる委託先選定のポイントは「実績」に基づいた信頼性の高さです。スプラウトでセキュリティ診断を行うのは、累積700件以上の診断実績のあるセキュリティエンジニアたちです。豊富な経験に裏打ちされた高品質な診断をご提供します。

全体の流れ

お申込み

数日〜1週間

NDA

お見積もり

契約

事前準備

内容による

テスト実施

1週間

報告書

ご希望に応じて
有料で実施

報告会

ご請求

診断結果報告書

簡易診断を除き、以下のような構成の診断結果報告書を作成しご提出します。

表紙 / 目次
調査概要 調査のスコープ、調査日時、診断作業者名などについて記載
総評 技術的な観点で、対象がどのような状態であるかを総評として記載
脆弱性
名称 / 危険度

検出された脆弱性毎に、以下の内容を細かく記載

  • 脆弱性の名称
  • 検出された箇所に関する情報 (IPアドレス、URI、アプリ名等)
  • 本脆弱性の概要と危険度に関する説明
検出対象
脆弱性概要
再現手順 修正する際に確認できるための、検出個所毎の再現手順
対策方法 本脆弱性を根本的に対策するための方法 (可能な限り詳細に、サーバの細かな設定値などにまで言及)
備考 / 参考情報 本脆弱性に関する付記情報がある場合
検出されたすべての脆弱性を漏れなく記載
補足資料 必要がある場合は、診断対象IP、URI、アプリ等を列挙し記載

診断日数・価格

診断内容により異なりますので、お気軽にお問い合わせください。大まかな目安については以下のとおりです。

  1. 1

    Webアプリケーション
    診断

    10リクエスト/日
    20万円〜

  2. 2

    スマートフォン
    アプリ診断

    通常5日間/1App
    100万円〜

  3. 3

    ネットワーク
    診断

    3IP/日
    20万円〜

  4. 4

    IoT/組込
    デバイス診断

    応相談

INFORMATION

サービスごとのお問い合わせも可能です。
お気軽にご相談ください。