脆弱性診断サービス – KEYAKI
Vulnerability Assessment Service
当サービス脆弱性診断の考え
テレワークの常態化やIoT等のデバイスの多様化が進む昨今
特定の攻撃経路だけを想定した「境界防御」に加えて
脆弱性を把握・管理・対処する『本質防御』も必須となっています。
当サービスは、十数年、約2000プロジェクト以上にわたる豊富な診断実績により蓄積されたノウハウと
セキュリティエンジニアの直感力と精緻な論理力を駆使し
お客様のシステムにおける脆弱性の存否を確認いたします。
脆弱性診断サービス事業の特長
脆弱性診断サービス全体として、下記の特長がございます。
診断対象とご予算に合わせた
カスタマイズ
ご要望とご予算をお伺いしたうえで、診断仕様と診断対象をカスタマイズし、ご予算内で最適な診断プランをご提案いたします。診断仕様では、OWASP TOP10やASVS、PCI/DSSなど、特定の基準適合のご要望にも柔軟に対応しております。
チーム制による相互確認と
診断期間の短縮
診断は複数メンバーでのチーム構成で実施することを原則とし、診断中及び診断結果については相互確認を行います。また、診断期間や診断時間に制限のある案件では、1チームに多数のエンジニアを投入することで、ご要望の診断期間内に確実に完了するよう対応しております。
診断実施中も
迅速かつ柔軟に対応
お客様に直接ご対応させていただく担当と診断担当エンジニア(脆弱性診断士)は常にリアルタイムで情報交換可能なため、お客様のご要望に迅速・柔軟にご対応いたします。
脆弱性診断サービス一覧
Webアプリケーション診断
一般的なセキュリティ検査標準に適合する診断にとどまらず、それぞれのWebアプリケーションの仕様・挙動を診断経験の豊富なセキュリティエンジニアが確認し、攻撃成功時のリスクを常に意識した疑似攻撃診断を行います。
ネットワーク診断
(プラットフォーム診断)
スキャンによる情報収集から、リスクベースに基づいた手作業による情報収集・分析まで、様々なニーズにお応えできる診断をご指定のIPアドレス・機器に対して実施いたします。クラウド環境に構築されたプラットフォームに対しては、特定IPアドレスからの情報収集だけでなく、検出された問題への対処までお手伝いいたします。
ネイティブ
アプリケーション診断
様々なユースケースを想定して、iOS及びAndroidのネイティブアプリケーションに対し、主に個人情報・機密情報の奪取可否の診断を実施いたします。またAndroidのネイティブアプリケーションでは、ソースコードのセキュリティ上の問題を確認する仕様もございます。
クラウド診断
クラウド上のプラットフォームに対して、VPC間通信によるネットワーク診断を実施します(現在はAWSのみ)。また、CIS(Center for Internet Security)の基準にもとづいた設定状態の確認を行います。
ペネトレーションテスト
特定範囲の脆弱性を網羅的に診断し、ユースケースを想定した上でシナリオを設定し、エンジニアが疑似攻撃を実行します。脆弱性診断で利用した脆弱性及びシナリオに基づいた攻撃で検出された脆弱性について、影響範囲を判定・ご報告いたします。
脆弱性診断サービスの流れ
診断手順は規模や仕様によって異なりますが、簡単な事前調査を経てすぐに実施可能な場合もございます。詳細は下記の「診断の基本的な流れ」をご覧ください。
Webアプリケーション診断
10年以上のWebアプリケーション診断実施経験者や情報処理安全確保支援士などが診断を担当し
それぞれのWebアプリケーションの仕様・特長に最適な診断を行います。
診断仕様・作業工程・日程など、お客様のご都合に柔軟に対応しております。
Webアプリケーション診断とは
Webアプリケーションの脆弱性診断とは、Webサイトのアプリケーションに対して、セキュリティ上の欠陥や問題点(脆弱性)を洗い出すWebアプリケーションに特化した検査のことです。
ツールスキャナーや脆弱性診断士による手作業の確認を組み合わせて実施します。Webアプリケーションに攻撃用文字列を送信して挙動を確認し、網羅的に脆弱性を検出します。
Webアプリケーション診断により、これまで見えていなかったWebアプリケーションのセキュリティ上の欠陥を明らかにし、対処していただくことで、攻撃を未然に防ぎ、お客様のWebアプリケーションを安全に利用できるように導きます。
主な診断カテゴリと脆弱性名は以下のようになっています。
各種インジェクション攻撃の実行可否
- SQLインジェクション
- OSコマンドインジェクション
- メール関連のインジェクション
クロスサイトスクリプティングの実行可否
- クロスサイトスクリプティング
- DOMベースのクロスサイトスクリプティング
認証機能の不備・パラメータの改ざん可否
- パラメータの改ざん
アクセス制御の不備
- パストラバーサル
設定の不備
- HTTPリクエストスマグリン
- Secure属性の設定されていないCookie変数
正規ユーザに対する強制処理実行の可否
- クロスサイトリクエストフォージェリ
Webアプリケーション診断の主な特長
特長1 あらゆるWebアプリケーションに対応
それぞれのWebアプリケーションに最適な診断を、ツールによるスキャンと手作業診断を組み合わせて実施します。
特長2 ツールスキャンから専門エンジニアが担当
厳格なセッション管理や複雑な遷移を持つWebサイトでは、ツールスキャンも容易でないケースが少なくありません。診断の第一歩である対象Webアプリケーションでの正常処理とその後の診断での処理不全を防止するため、ツールスキャンも専門性の高い診断士が確認を進めます。
特長3 多様なセキュリティ基準との対照が可能
当社診断仕様とお客様がご参考にされている診断基準との対照表をご提示いたします。
実際の診断では、診断基準に基づいた脆弱性カテゴリと診断対象機能での実施有無をマトリックスにしてご提供いたします。
特長4 どの段階でもお見積りのご提供が可能
本番運用中の環境からまだ構想段階のサービスまで、Webアプリケーション診断を検討されるあらゆる段階でお見積りできます。
Webアプリケーション診断の報告書サンプル
検出された脆弱性について、例として以下のような項目を記載しています。
・危険度
深刻、高、中、低、情報の5段階で脆弱性の危険性を評価します。すぐに対応すべき脆弱性が一目でわかります。
・解説
脆弱性の意味や、その脆弱性を悪用されるシチュエーション、悪用された場合の被害について記載します。脆弱性に対応するかどうかの判断の一助としてください。
・対処
脆弱性を解消する方法の例を提示します。脆弱性に対処する際の一助としてください。
Webアプリケーション診断のよくあるご質問
-
Q
本番環境のWebアプリケーション診断をしてもらいたいのですが、どのような影響が出る可能性がありますでしょうか。
A
診断中に多量のHTTPリクエストが送信されますので、診断対象のWebサーバに負荷がかかります。
事前に綿密なヒアリングをすることで、本番環境に影響が出ない様に設定をして診断をすることが可能です。 -
Q
WAFによるブロックを前提に開発している場合、WAFを含めての診断は可能でしょうか。
A
WAFを含めての診断は実施しておりません。
WAFなどの不正アクセス対策機器のみでは安全性を確保することは難しいため、Webアプリケーション自体の診断も必要と考えます。 -
Q
社内向けのWebアプリケーションなど、限られた人間のみが利用するサービスでも診断が必要でしょうか。
A
外部に公開していない場合、攻撃を受ける可能性は下がりますが、サービスの権限制御不備や使用しているソフトウェアの脆弱性を悪用されて、機密情報が漏洩してしまう場合もございます。
そのため、限られた人間のみが使用するようなサービスこそ、診断・対策は行うべきと考えます。 -
Q
Webアプリケーション診断とネットワーク診断(プラットフォーム診断)は一緒に実施するべきでしょうか。
A
同時に行うことで、よりセキュアなWebサービスを構築することができます。ぜひ、ご検討ください。
ネットワーク診断(プラットフォーム診断)
脆弱性管理に必須であるネットワーク診断(プラットフォーム診断)を高い網羅性とスピードを重視して実施いたします。
ネットワーク診断の主な特長
特長1 お見積の即時提出
診断対象IPアドレス数のご提示で、即時お見積の提示が可能です(リモートの場合で特別な制限が無い場合)。
特長2 最短で診断翌日に報告書提出
IPアドレス数に関わらず、診断終了の翌日に報告書の提出も可能です(オプション料金が発生する場合があります)。
特長3 診断仕様・送信パターンの開示
診断時に使用する設定や脆弱性スキャナが送信するパターンを開示し、診断仕様をご提示いたします。
AWS上に構築されたプラットフォームに対しては、VPC間通信による、
擬似的なオンサイト診断も可能です。詳細はクラウド診断をご覧下さい。
ネイティブアプリケーション診断
OWASP Mobile Top10またはOWASP Mobile Security Testing Guideを基準として、
端末に保存された情報、通信の機密性からソースコードの残存情報まで確認いたします。
ネイティブアプリケーション診断とは
Android、iOS用アプリケーション向けの脆弱性診断メニューです。
アプリケーションに対し、動的診断(アプリ動作中の診断)および静的診断(アプリを動作させないで行う診断)を組み合わせて実施いたします。
主な診断カテゴリは以下のようになっています。
- 端末に保存される情報
- 発生する通信の内容や安全性
- 逆コンパイルしたソースコード(※Androidのみ)
ネイティブアプリケーション診断の主な特長
特長1 2種類の診断仕様をご用意
診断対象アプリケーションの規模や必要とするセキュリティレベルに応じて、診断価格・項目数が異なる診断仕様をお選びいただけます。各診断仕様は、OWASPのセキュリティガイドに則った信頼性の高い診断項目で構成されております。
特長2 素早く正確な診断サービスをご提供
自社開発ツールの使用および診断士による手作業により、迅速かつ正確な診断を実施いたします。また、お見積り価格は即時提示、報告書は診断終了翌日に納品が可能など素早いサービス提供を行っております。
特長3 お気軽に診断が可能
診断時にご提供いただくのは、基本的に診断対象のアプリケーションのみとなります。また、開発中のアプリから本番リリース中のアプリまで、様々なステージにおけるネイティブアプリケーション診断に対応しております。
サービス仕様
Basic
OWASP Mobile Top10を基準として診断を行います。
アプリケーションファイルのご提供と必要な認証情報のご提供が必要となります。
Advanced
OWASP Mobile Testing Guide を基準として、Androidのネイティブアプリケーション診断を行います。
複数種類のビルドご提供などが必要となります。
ネイティブアプリケーション診断のよくあるご質問
-
Q
診断実施にあたって提供が必要な情報はどのようなものでしょうか。
A
基本的には、診断対象のアプリケーションファイルのみで大丈夫です。
ログイン認証のあるアプリケーションの場合は、ログイン情報も併せてご提供いただいております。 -
Q
Basicでの巡回シナリオは何を基準に作成するのでしょうか。
A
ログインやアカウントの新規登録など、機密情報を含む通信が発生する箇所を基準に作成しています。
また、お客様より巡回シナリオをご指定いただくことも可能です。
クラウド診断
クラウドサービスの利用拡大と共にセキュリティ事故の発生も増加傾向にあります。
外部からの攻撃だけで無く、ゼロトラストモデルの観点 から、クラウド上のシステムに特化した下記の診断を行います。
クラウド診断サービスの主な特長
特長1 内部侵入・攻撃も想定
組織内部のユーザーに対する権限設定などを確認し、内部からの攻撃可否を確認します。
特長2 クラウド特有の技術を活用
擬似的なオンサイト診断もクラウドの技術を活用して実施します。
サービス内容
設定確認
ご利用のクラウドサービスについて、CIS(Center for Internet Security)のセキュリティ基準への準拠状況を確認いたします。
VPC プラットフォーム診断(AWSのみ)
AWS上に構築されたシステムに対して、オンプレミス環境のオンサイト診断と同様のネットワーク診断を行います。
診断の基本的な流れ
現在ご提供可能な資料・情報をご提示いただき、サービス提供の準備を進めさせていただきます。
-
-
お引き合い
-
- ・ Webアプリケーション診断
- 企画書、サービス概要、設計仕様書、
実際に動作可能なデモサイト - ・ ネットワーク診断(プラットフォーム診断)
- IPアドレス数、ネットワーク構成図
- ・ ネイティブアプリケーション診断
- ファイル数、アプリケーションの概要
この時点で実施ご希望時期も承り、
日程仮押さえも可能です。
-
-
-
診断範囲と
仕様の調整お見積 -
ご予算に合わせて診断範囲・対象や診断仕様をご提案し、
お見積いたします。
-
-
-
日程調整
-
診断範囲と仕様から予想される診断日数を算出し
ご希望の診断日程を調整させていただきます。
-
-
-
診断作業結果分析・
報告書提供 -
・診断作業の実施
※緊急性の高い脆弱性が検出された場合、テキストベースの速報を送信
・重大な問題発見時のエスカレーション
・報告書
-
-
-
ご報告会
(オプション) -
・報告会の実施
脆弱性が発見された場合、お客様側で修正・対処のご対応となります。
・質疑応答
-
-
-
改修確認
(3ヶ月以内) -
報告書に記載の推奨事項がサーバ側で反映されているか確認いたします。
-
脆弱性診断サンプル資料などのご提供について
既にお取引のあるお客様に提供させていただいている汎用資料の一覧です。
お問い合わせいただいた方にご提供できる資料もございますので、お気軽に、sales@treebell.co.jpまでご連絡下さい。
総合
- 診断メニュー 一覧表
- お客様のご活用例
- 診断基本仕様のご説明
- 設計段階でのセキュリティ要件と弊社診断内容
- 脆弱性診断実施承諾書(汎用)
- 「 情報セキュリティサービス基準 」との適合性に関する情報(報告書添付資料)
- 診断検出統計資料(Webアプリケーション診断及びネットワーク診断)
Webアプリケーション診断
各種納品物サンプル
- 診断メニュー 一覧表
- URL別診断実施一覧表サンプル
- 報告書サンプル
- 速報サンプル
仕様説明資料
- 診断メニュー 一覧表
- 診断対象脆弱性カテゴリと個々のカテゴリの診断手法一覧表
- 診断実施内容の概要(ツールスキャンの詳細説明)
- 各種標準仕様との対照表(OWASP Testing Guide 4.0等)
- ツールスキャンとフルスペック診断の仕様選択判断に関する原則
- パラメータ積算に関する詳細説明
- CVSS設定基準説明書
- ゲーム関連の診断に関する仕様説明書
- DOMベースのクロスサイトスクリプティング診断オプション説明書
- DDoSオプション概要説明書
- ツールスキャン診断に関する説明書
- XSSの危険度判断基準説明書
- WAFを介した場合の診断結果に関する説明書
- 使用スキャナの検出能力に関するバージョンアップ履歴
事例説明資料
- スキャンツールで検出出来ずに手作業診断でのみ検出可能であった例
- 特定ブラウザでのURLエンコード回避に関する説明
- クロスサイトスクリプティングの悪用方法
- クロスサイトリクエストフォージェリの悪用方法
診断時にご記入・ご確認頂く資料
- ヒアリングシート
- 診断にあたってのご準備をお願いする事項
- オンサイト診断時のご準備とご留意事項
ネットワーク診断
(プラットフォーム診断)
各種納品物サンプル
- 報告書サンプル
- スキャンツール自動生成レポートのサンプル
仕様説明資料
- 概要説明資料
- 実施カテゴリ一覧表
診断時にご記入・ご確認頂く資料
- ヒアリングシート(ネットワーク)
ネイティブアプリケーション診断
(iOS及びAndroid)
- 診断報告書サンプル
- 実施項目一覧(OWASP Mobile Top 10仕様)
- OWASP Mobile Testing Guide 対照表
クラウド診断
- AWS疑似オンサイト診断 お客様ガイド
- AWS設定診断 アクセス許可設定ガイド
- クラウド設定チェックリスト
ペネトレーションテスト
- ペネトレーションテストの分類一覧表
- ペネトレーションテスト(網羅型)の概要
- 仕様設定用ヒアリングシート(見積前)
- ペネトレーションテスト(網羅型)見積用シート
JavaScript診断
- 診断概要
- JS確認の作業フロー
- JSチェックツールの自動生成レポート
- 報告書サンプル
