Menu
  1. トップページ
  2. セキュリティ診断・脆弱性診断TOP

Service

セキュリティ・脆弱性診断サービス

株式会社アピリッツでは多数のWebシステム開発/運用経験から蓄積したノウハウから、よりシステム開発の現場に根ざした 脆弱性診断(セキュリティ診断)やサイバー攻撃や情報漏えいにも対応できるセキュリティ対策の強化をトータルに支援するセキュリティソリューションを提供します。

Webアプリケーション診断

当社エンジニアが攻撃者の観点でアプリケーション自体の脆弱性を診断を実施します。SQLインジェクション、クロスサイト・スクリプティング、CSRF、HTTPインジェクション、ディレクトリトラバーサルなどをはじめPCI-DSS準拠診断、OWASP TOP10項目、その他ご要望の診断の実施が可能です。

手法
当社アプリケーションエンジニアによる手動検査
期間
・SNSサイト10日~
・ECサイト5日~
・会員システム1日~

プラットフォーム診断

当社ネットワークエンジニアがサーバやネットワークに関する脆弱性を診断致します。
ポートスキャン(TCP/UDP全ポート対象)、バナー情報収集調査、FTP匿名接続調査、SSH認証調査、HTTPコンテンツ調査など、ご要望に応じて侵入検査なども実施することが可能です。

手法
ツール診断+マニュアル(手動)検査
期間
・1IP1日~

スマートフォンアプリケーション診断

iOSやAndroidアプリ等のスマホアプリにセキュリティ上の問題点がないか、JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断サービスを実施します。
リバースエンジニアリングによるアプリの挙動解析の実施も可能です。

手法
ツール診断+マニュアル(手動)検査
期間
・1アプリ5日~

サービスの特長

不正アクセス、情報漏洩などのニュースをよく耳にするようになりました。WEBアプリケーションはもちろん、サーバーへの直接攻撃、スマートフォンアプリへの攻撃など日に日に増加しております。アピリッツでは、脆弱性の低減を目的に、多数のWebシステム開発/運用経験から蓄積したノウハウから、よりシステム開発の現場に根ざしたセキュリティ診断のサービスならびにセキュリティ運用サービスを提供しております。

脆弱性とは

ソフトウェア等におけるセキュリティ上の弱点で、セキュリティホールと呼ばれ、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥があることで、攻撃者からの不正アクセス等の攻撃に悪用されるケースがあります。

脆弱性検査(セキュリティ診断)とは

ソフトウェア(Webアプリケーション等)や、システム(ネットワークやミドルウェア等)、に対して、脆弱性がないかどうかを検査するものです。

診断レポートサンプル

Webアプリケーション診断

プラットフォーム診断

診断の流れ

  1. ヒアリング

    • ・対象システムに関してのヒアリングを実施
    • ・対象システムの対象リストの精査、決定
  2. 診断方法提案

    • ・診断方法の確認(手動診断・手動診断とツール診断のハイブリット診断)
    • ・診断日程確定
  3. 診断

    • ・診断の実施
    • ・診断の開始及び終了をメールにてお知らせ
    • ・診断実施時間の待機
  4. 速報連絡

    • ・重大な脆弱性を発見した場合に速報を提出
    • ・修正方法の提示
  5. 報告書作成

    • ・発見された問題点一覧を提出
    • ・問題点が及ぼす影響の評価
    • ・問題点の改善について、緊急度や必要性を評価
    • ・すべての問題点について、再現方法提示・具体的な対策方法を提示
  6. 報告会
    (オプション)

    • ・発見された結果を元に報告会を実施。
    • ・技術的視点からの改善策をご提示
  7. QAサポート/再診断

    • ・診断後、1ヶ月以内であれば無償で再診断を実施。
    • ・1ヶ月以内であればメールでQ&Aも実施いたします

料金

はじめてセキュリティ診断を行う、何を対策してよいかわからない。各社のセキュリティポリシーは業種・システムともに千差万別です。ECサイトに必要なセキュリティ診断とポイントカードシステムに必要なセキュリティ診断は全く違います。アピリッツではお客様の業種・目的に合わせ、セキュリティ対策を行う上で必要な診断内容をわかりやすくご説明しております。困ったな、と思ったらまずはお気軽にご相談ください。

脆弱性診断メニュー 概要 費用
はじめてのセキュリティ診断 SQLインジェクション、クロスサイトスクリプティング、CSRFの最も発見されやすくリスクの高い問題点について重点的に診断を行います。また認証周りの脆弱性についても診断を行います。はじめてセキュリティ診断を行うご担当者様が現状を把握するのに最も最適なプランです。 8万円~
Webアプリケーション脆弱性診断 SQLインジェクション、クロスサイトスクリプティング、CSRFはもちろんのことPCIDSS基準、OWASPTOP10基準などの診断を組み合わせ、ご予算、診断期間、診断項目など個々のお客様に合わせた提案が可能です。 25万円~
プラットフォーム脆弱性診断 サーバーやネットワーク機器に潜む脆弱性について診断致します。またFWの設定状況、通信方法についても診断を行い不正アクセス、情報漏えいなどにつながる脆弱性の検査を行います。 15万円~
スマートフォンアプリケーション脆弱性診断 スマートフォンアプリケーション専用のメニューです。スマートフォンアプリならではのセキュリティ上の脅威について多方面から技術者による手動検査を行います。 別途問い合わせ

見積もり例

BtoC向けのECサイトで、スクラッチ開発サイト対象部分は、フロント(一般利用者が使用するページ)のみを対象に診断

主な診断機能

  • ログイン
  • 新規会員登録
  • マイページ(ユーザー情報や、購入履歴等)
  • 商品検索
  • 商品一覧
  • 商品詳細
  • カートへの追加から購入完了まで
  • お問い合わせ

診断対象

Webアプリケーション診断
診断対象リクエスト数:140

御見積金額

140万円

企業ホームページをCMSにて構築企業ページは、数100ページあり、基本的には静的ページで、お問い合わせのみ動的

主な診断機能

  • 商品検索
  • サイト検索
  • お問い合わせ

診断対象

Webアプリケーション診断
診断対象リクエスト数:15程度
プラットフォーム診断
対象IP数:1

御見積金額

45万円

よくある質問

Q Microsoft Azure や、AWS(Amazon Web Services)に対しての診断は可能でしょうか?
A 診断可能です。診断を実施する環境によっては、事前にお客様より申請をお願いさせて頂いております。
診断側(アピリッツ)の情報は、ご連絡させて頂いています。
Q 診断実施時に準備しておくことはどのようなことでしょうか?
A WAFや、IPS/IDSをご利用の場合は、診断元IPアドレスからはブロックしないように、また、データのバックアップをお願いしております。
Q 診断期間は、どのくらい(何日くらい)掛かりますか?
A Webアプリケーション診断の場合は、診断対象となるリクエスト数等により、プラットフォーム診断の場合は、対象IP数により異なります。
Q 再診断とは、なんでしょうか?
A 再診断とは、検出した脆弱性に対して、ピンポイントで行う再確認となります。
※再度同じ診断を実施する訳ではないため、新たな脆弱性が検出される事はありません。
Q 再診断は、リスクレベル「低」から確認して頂く事は可能ですか?
A リスクレベル「低」でも再診断の対象として対応させていただいております。
Q 再診断時に、修正漏れがありましたので、再々診断をお願いすることは可能でしょうか。
A 再診断は、報告書納品後、1ヶ月以内に1回無料で対応しています。
再々診断を無料でお受けすることは出来ませんので、御了承ください。

サービスメニュー

PAGE TOP