Webサイトからの情報漏えい対策など、
診断ツールや診断員の手動診断を組み合わせて網羅的に診断
Webアプリケーションの設計・開発の不備で生じたセキュリティホールを見つけ出し、早急な改修が必要なのかリスクの脅威レベルも含めてレポートにまとめてご報告するサービスです。多くのWeb従事者に支持いただいている「体系的に学ぶ 安全なWebアプリケーションの作り方」の著者で、Webセキュリティ分野の第一人者である徳丸浩のもと、診断結果のレビューを細かく内部で行っているため信頼度の高い診断結果の提示をしています。ご予算や期間、リスクレベルに合わせて診断ツールや診断員による手動診断をカスタマイズして最適なご提案をいたします。
業務フロー図
スタンダード
「安全なウェブサイトの作り方」「OWASP TOP10」の項目に沿った網羅的で高精度な診断です。事前にヒアリングやサイト調査を行うことで、サイトの特性を踏まえた診断を実施します。 個人情報や重要情報を多く扱うサイト、SaaSサービス、新規サービスのローンチ前の診断の他、APIの診断を実施したい際におすすめです。
プレミアム
スタンダードプランの内容に加え、WebSocketやGraphQLの診断にも対応。また、オプションにて設計書やソースコードをお預かりし、ドキュメントやソースコードを確認しながらの診断も可能です。 より高い安全性が求められるサイトや先進的な技術を用いたアプリケーションの診断の際におすすめです。
導入事例
診断項目比較表
サービスの強みとポイント
-
ツールでは診断が難しいSPA(シングルページアプリケーション)やWebSocketなどの診断にも対応
従来からの、コンテンツ切り替えにページ遷移を伴うMPA(マルチページアプリケーション)はもちろん、ページ遷移を行うことなく、単一のWebページでコンテンツの切り替えを行うSPA(シングルページアプリケーション)やブラウザとWebサーバーとの間で双方向通信を行うWebSocketなど、モダンなWebアプリケーションの診断にも対応しています。
-
脆弱性に対する対策提案もふまえた診断レポート・報告会
脆弱性診断の結果は、レポートとして提出するだけでなく、貴社のセキュリティ関係者を集めた報告会を開催し、詳しく説明することも可能です。
報告会では、単にレポートを読み上げるだけではなく、発見された脆弱性の種別ごとに対策方法もあわせて解説。長年の診断経験による知見や、最新のセキュリティトレンドを踏まえたアドバイスも行うため、セキュリティ対策全体の底上げをすることができます。
ウェブセキュリティ専門家:徳丸浩が
脆弱性診断やコンサルティング業務などの知見を活かし製品の開発に携わっています。
EGセキュアソリューションズ
取締役CTO 徳丸浩
1985年に京セラ(株)に入社後、ソフトウェアの開発・企画に従事。1999年に携帯電話向け認証課金基盤の方式設計をきっかけに、Webアプリケーションのセキュリティに興味を持つ。2004年に同分野を事業化し、2008年に独立してHASHコンサルティング(株)(現EGセキュアソリューションズ(株))を設立。著書には「 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ) 」がある。
よくあるご相談
Webセキュリティの専門技術者が、詳細なヒアリングをもとに診断プランを提案します。悪用された機能周辺を重点的に診断し、発見された脆弱性を具体的な対策とあわせて報告することで、早期の改善が可能です。
Webサイト全体の脆弱性を改善するには、相応の時間を要します。そこで、修正が完了するまでの対策として、Webアプリケーションの脆弱性に対する防御機能WAFの導入を提案することが可能です。
当社では「OWASP Top 10」や、「安全なウェブサイトの作り方」などをもとにした脆弱性診断を実施しています。上記の基準に基づくレポートを作成・提出し、ユーザーからの信頼獲得に貢献します。
サービスに関するお問い合わせ・お見積もりはこちらから