サイバートラスト

Web アプリケーション診断

Web サイトは、ビジネスの目的に合わせてさまざまなシステムがあります。近年、Web サイトにおいて、不正アクセスやマルウェアが急増しています。これらの被害を未然に防ぐためには、内在する脆弱性を明らかにし、適切な対策を講じることが不可欠になっています。
サイバートラストでは、経験豊かなセキュリティ技術者が Web アプリケーションに潜む脆弱性や潜在要因を洗い出し、適切な対策方法をご提示します。セキュリティ強化を支援をします。

Web アプリケーション診断イメージ

主な診断項目

入出力処理に関する調査 クロスサイトスクリプティング、SQL インジェクション、コマンドインジェクション、
フィッシング詐欺サイトへの誘導、パラメータ改ざんなど
認証に関する調査 ログインフォーム、ログインエラーメッセージ、ログイン・個人情報の送受信 など
認可に関する調査 権限昇格、権限のない情報へのアクセス など
セッション管理に関する調査 セッション固定、クロスサイトリクエストフォージェリ など
一般的な脆弱性に関する調査 サンプルプログラム等のデフォルトコンテンツの有無 など

診断の流れ

※ ※ STEP5(詳細報告)、STEP6(再診断)はオプションになります。

報告書について

診断報告書は、経営層向けのエグゼクティブサマリー(5段階の評価ランクを含む)と技術者向けに詳細レポートとして、確認された脆弱性および対策などを記載し、お客様が改善すべき事項を明確にご提示します。

エグゼクティブサマリー 診断対象の Web サイトのリスクを一目で把握いただけるように 5 段階評価とレーダーチャートによる分析でご提示します。
詳細レポート 検出された脆弱性の状態、リスク、対策案を報告書でご提示します。

Web アプリケーションの脆弱性

Webアプリケーションの脆弱性とは、Webページに内在するセキュリティ上の問題点であり、悪意をもった第三者に、Webブラウザやツールからの攻撃や侵入を可能としてしまう脆弱性のことです。対策を疎かにして攻撃・侵入にあってしまうと下記のような被害が想定されます。

被害例

個人情報の漏洩 データ破壊
Web サイトの改ざん 金銭的被害
ウイルス感染 サーバー停止、サービス停止
サービスの不正利用 他サイト攻撃のための踏み台


トラブル事例(出典:IPA:ウェブサイト運営者のための脆弱性ガイドライン)

不正侵入による情報流出、踏み台化
悪意のある第三者がウェブサイトに対し不正侵入を行ったり、ウェブサイトのシステムがコンピュータウイルスに感染した結果、個人情報などの重要情報が詐取されたり、ウェブサイトを悪用できるように改造されることがあります。2005年5月、ある情報提供サービス会社では、自社の情報サイトが不正侵入され、その対応が遅れたためエンドユーザのメールアドレスが大量に流出し、サービスの停止に追い込まれました。その結果、社会的信用が大きく損なわれ、売上、株価にも影響を及ぼし、金銭的な被害を受けました。
(ご参考 : IPA http://www.ipa.go.jp/security/fy19/reports/vuln_handling/index.html


製品・サービスに関するお問い合わせはこちら