セキュリティ対策は知ることから
大切な資産をセキュリティ脅威から守る

脆弱性
診断サービス

リスクを知って対策すれば、抱えている不安が解消

身近に潜むセキュリティリスクを診断
脆弱性診断サービス

Webサイトやネットワーク、OSなどが悪意のある人物からの攻撃を受けやすい箇所がないか?、セキュリティ対策が不足している箇所がないか?という脆弱性を診断するサービスです。

未対策の脆弱性をそのままにしていると、個人情報、企業秘密などの重要な情報が奪取されたり、ページの改ざんなどが起こる可能性が大きくなります。
そして、その被害も多様にあり、マルウェアを埋め込まれ閲覧者に被害が出るなど、気づかないうちに加害者にされることもあります。

通販サイトや会員向けサイトなど、事業を行う上で重要な役割を担っているWebサイトにおいては、脆弱性診断を行い対策を行うことでセキュリティリスクが軽減し、お客様の安全、安心な企業活動に繋げていただけます。

サイバーフォートレスの脆弱性診断サービス

セキュリティのプロによる
脆弱性診断サービス

 セキュリティ専門家が診断

 最新の脅威・脆弱性情報を活用

 診断後の脆弱性対策まで対応

ご希望に合わせて選べる診断サービス

診断方法で選ぶ

手動 or ツール

診断対象で選ぶ

WEB or インフラ

脆弱性診断サービス3つの特長

特長

幅広い診断領域

OS・ネットワーク・ミドルウェア・Webアプリケーションと幅広い範囲で診断をすることが可能です。
総合的に診断を行うことで、多方面からの攻撃に対して対策をとることが可能になります。
お客様がより安心してご利用できる環境を作ることが出来ます。

特長

多様な診断内容に対応

サイバーフォートレスの脆弱性診断では、約140,000件の診断項目を保有するツール診断で、スピーディーにサイトやプラットフォームの脆弱性を診断したいというご要望から、Webアプリケーションはより深く診断したいというご要望まで、多様な診断内容に対応することが可能です。

特長

トータル的な対策支援も可能

脆弱性診断の結果からどこが悪いか知ることは出来たが、その後の対応はどうしたら良いのか、という声にも多くあります。
複数のセキュリティサービスを展開している弊社だからこそ、脆弱性診断結果の対策として必要な機器の手配や設置、監視や運用までトータル的なサポートすることが可能です。

 

身近に迫るサイバー攻撃の脅威

 

 

代表的なWEBサイトへの攻撃例
(SQLインジェクション)

 

会員情報サイトなど、アクセスユーザーを限定しているサイトはユーザーIDやパスワードを入力する認証ページで守られています。
しかし、SQLインジェクションという攻撃手法を用いることで、そうした認証ページに不正なSQLコードを送り付け、システム上あたかも認証されたかのようにし、不正に管理者としてアクセスし、会員の個人情報など、色々な情報がダウンロードされ情報が流出してしまうことがあります。

 

 

こんな被害に遭う前に脆弱性診断で現状確認を

 

 

このようなお悩みありませんか?

監査で脆弱性診断の実施を迫られている。

社内にセキュリティの専門家がいない。

脆弱性診断と聞くけど予算が取れない。

脆弱性について顧客から指摘を受けた。

公開しているサービスは安全だろうか。

サーバやネットワークは安全だろうか。

サイバーフォートレスの脆弱性診断サービスで
そのお悩み解決できます


サイバーフォートレスの脆弱性診断サービスなら

 最新攻撃手法や脆弱性を基にセキュリティ専門家が診断
 診断結果と対策方法まで分かりやすいレポートでご報告
 
診断対象や診断対象、ご予算などに合わせて複数の脆弱性診断メニューをご用意しています。

●   WEBアプリケーション診断(手動診断)   ●

豊富な経験を持ったセキュリティエンジニアが手作業による診断を実施します

 

   手動診断 3つの特長   

 

特長

専門アナリストによる診断

脆弱性診断を行う専門のアナリストが実際にお客様のサイトにアクセスし、疑似的攻撃を仕掛け、脆弱性があるかないか診断をいたします。
アナリストが見ることで、基本的な項目から、対象サイトに適した診断項目でチェックすることが可能です。

特長

OWASP準拠の診断項目

基本項目はThe OWASP Foundationにより、世界中の利用実態に様々な観点で推計したセキュリティ脅威を優先順位付けされたOWASP TOP 10に準拠した項目で、確認しないといけない診断項目は網羅した項目となっています。

特長

報告会で対応もサポート

診断結果は分かりやすいレポートでお客様に提出。その内容からどのように対応したら良いのか、レポートからも確認可能ですが、報告会にてより詳しくお伝えすることが出来ます。
セキュリティに強い方がいない場合でも、対応が可能になるようサポートいたします。

 

   手動診断 診断項目   

 

Injection
SQL Injection,XPathインジェクション,OSコマンドインジェクション
制限されないスクリプトの実行
Cross-Site Scripting(XSS),Cross-Site Request Forgery(CSRF),XML外部オブジェクト攻撃(XXE)
クッキー/セッション管理
クッキー上の情報露出及び改ざん可能,セッション予測,セッション満了,重複接続
ユーザー認証管理
脆弱なアカウント/パスワードの使用,脆弱なパスワード確認機能,本人確認の迂回,不十分なユーザーの承認,ログイン失敗回数
不完全な直接オブジェクト参照
知られたファイルおよびディレクトリの露出,管理者ページの露出
URL/パラメータ改ざん
ウェブパラメータの改ざん,信頼性の無いURLへの自動リダイレクション,制限されないファイルのダウンロード
脆弱な設定及び設計
制限されないファイルのアップロード,脆弱なサービスヘッダの設定,ディレクトリインデクシング,自動化攻撃
不完全な暗号化
重要情報の平文転送,重要情報の平文露出
情報露出
サーバ情報露出,不一致による情報露出,エラーメッセージによる情報露出,個人情報露出
機能上のエラー
機能上のエラー

 

   手動診断 実施の流れ   

 

STEP1

ヒアリング

診断内容、注意事項の説明後、ご契約締結
 

 

STEP2

診断実施

セキュリティ専門エンジニアが診断を実施
 

 

STEP3

結果レポート

実施した脆弱性診断の結果をレポート提出
 

 

STEP4

報告会

レポートを基に診断結果、対策方法を報告
 

 

STEP5

脆弱性対処

診断結果を基に明らかになった脆弱性対処
 

 

 

   手動診断 料金   

 

Webアプリケーション診断 (手動診断)

  基本診断料金  

550,000円~/10ページ

  追加診断料金  

ページ追加(20ページまで):1ページ 20,000円
ページ追加(21ページ以降):1ページ 17,000円

※ページの構成によっては金額が変動する場合がございます。詳細はお問い合わせ下さい。

●   WEBアプリ・プラットフォーム診断(ツール診断)   ●

専用の診断ツールを使用することでお客様ご自身で脆弱性診断を実施頂けます

 

   ツール診断 3つの特長   

 

特長

年間診断し放題プランも

特定のIP、URLに対して1年間無制限で診断が出来るメニューをご用意しています。
必要な時に好きなだけ実行することが可能です。
1回目の診断後、修正し再度診断ということも可能。開発、環境変更等を行った際にも都度、脆弱性を診断することが出来ます。

特長

セルフ診断も可能

ツールはSaaS型のツールとなりますのでインターネットブラウザからアクセスし「診断」とボタンを押すだけ。
実施後、レポートも作成され、分かりやすく対応も記載されていますので簡単にお客様自身で診断をすることが可能です。
もちろんサイバーフォートレスから診断結果の報告をすることも可能です。

特長

豊富な経験による高検知力

約140,000件の診断項目を保有し、多くの脆弱性をチェックすることが可能です。
プラットフォーム診断では、サーバー上のミドルウェアの脆弱性も診断可能。
診断項目は定期的にアップデートされ、診断項目が陳腐化することもなくその時々の重大な脆弱性に対応しています。

 

   ツール診断 診断項目   

 

  Webアプリケーション診断  

入出力処理 SQLインジェクション , クロスサイトスクリプティング , ディレクトリトラバーサル , コマンドインジェクション , 改行インジェクション , リンクインジェクション , HTTPレスポンス分割 , その他
一般的な脆弱性 強制ブラウジング , ディレクトリリスティング
ロジック流出 エラー処理 , 情報公開 , コメント
セッション管理 Cookieの取り扱い , セッションID , クロスサイトリクエストフォージェリ
Webサーバー設定 システム情報の開示 , 不要なメソッド , ディレクトリ存在の確認 , サーバエラーメッセージ

  プラットフォーム診断  

通常実施しない調査 DoS(サービス妨害攻撃)の実施 , BruteForoe(総当たり攻撃)の実施
各種OSの脆弱性 Windowsの既知の脆弱性 , Solarisの既知の脆弱性 , 各種Linuxの既知の脆弱性 , その他各種OSの既知の脆弱性
悪意あるソフトウェア バックドアの調査 , P2Pソフトウェアの調査
ホストのスキャン ポートスキャン , 実行中のサービスの検出
ネットワーク機器の脆弱性 各種ルータ機器の既知の脆弱性 , 各種ファイアウォール機器の既知の脆弱性 , その他各種ネットワーク機器の既知の脆弱性
ネットワークサービスの脆弱性 DNSに関する調査 , メールサーバーに関する調査 , RPCに関する調査 , ファイル共有に関する調査 , SNMPに関する調査 , SSHサーバーに関する調査 , データベースサーバーに関する調査 , パスワードに関する調査 , 管理サイトに関する調査 , その他サービスに関する調査
その他 その他ホスト全体の調査 , 情報
Webサーバーの脆弱性 Webサーバーの脆弱性 , Webアプリケーションサーバーの脆弱性 , 許可されているHTTPメソッド , 暗号化方式に関する調査 , 証明書に関する調査

 

   ツール診断 実施の流れ   

 

STEP1

ヒアリング

ヒアリングシートに必要事項を入力し提出
 

 

STEP2

アカウント発行

ツールを使用するためのアカウント発行
 

 

STEP3

診断実施

ツールを使用してお客様ご自身で診断実施
 

 

STEP4

レポート取得

レポートをダウンロードして診断結果確認
 

 

STEP5

脆弱性対処

診断結果を基に明らかになった脆弱性対処
 

 

 

   ツール診断 料金   

 

Webアプリケーション診断(ツール診断)

  年間2回チケットプラン  

198,000円~/2回

※1URLについて 年2回まで診断可能

  年間診断回数無制限プラン  

300,000円~/年間

※1URLについて年間診断回数無制限

 

プラットフォーム診断(ツール診断)

  年間1回チケットプラン  

70,000円~/1回(1IP)

  年間診断回数無制限プラン  

216,000円~/年間(3IP)

 

 

脆弱性診断サービス
サービス資料『無料』ダウンロード

脆弱性診断サービスの概要、特徴など詳細が確認出来る資料を『無料』でダウンロード頂けます。

次世代型SIEMのSPiDERTMのパンフレット

    必須 は必須入力項目です

     

     

     

    お問い合わせ

    サービス・製品に関するお問い合わせを承ります。

    ・製品の詳しい説明を聞きたい
    ・実際に製品を見てみたい
    ・見積りが欲しい

    など、お気軽にお問い合わせください。

    お問い合わせ »