セキュリティ脆弱性診断

攻撃者の視点とノウハウを熟知したプロによる脆弱性診断サービス

お客様環境の脆弱性ポイントを見える化し、対策の提案と併せてご報告します。

特徴

アイロバが選ばれる3つの理由

• 抜群の費用対効果

  高スキルな当社エンジニアによる高精度なマ二ュアル診断 ^* 。他社を圧倒する診断項目数でリーズナブルな価格^*ツールをベースとした 簡易診断もあります

• スピードと柔軟性

  受注から報告会まで最短2週間とスピーディー。お客様予算に応じて診断プランをカスタマイズ

• 的確な対策とフォロー

  脆弱性箇所の対策サポートあり。初回診断から再診断までのワンストップサポート

サービスメニュー

アイロバが提供するセキュリティ診断サービス

• 01

  診断

  悪意ある攻撃者の最新手口を熟知した業界トップクラスの専門家が安全性を多角的に評価します

  
• 02

  調査

  セキュリティやサーバ/ネットワークを熟知した業界トップクラスの専門家が原因の特定から復旧まで対応します

  
• 03

  運用

  日々入手するセキュリティソリューション情報を基にお客様環境への適応を24時間365日対応し安定した環境の提供を行います

  

• 

  WEBアプリケーション診断

  お客様が独自に構築したWebアプリケーション(CGI、ASPなど)に対して、セキュリティ専門家が攻撃者の視点から様々な疑似攻撃を考察・試行することで、Webアプリケーションの安全性を徹底的に調査するサービス。

• 

  プラットフォーム診断

  お客様のサーバー・ネットワーク機器の環境（OS、ミドルウェア）に対して、セキュリティ専門家が攻撃者の視点から既知となる脆弱性を調査するサービス。診断結果から攻撃の危険度を5段階で評価するサービス。

• 

  脆弱性簡易診断

  ツールをベースとした脆弱性診断サービス。コーポレートサイト、LPなどのシンプルなサイトを対象とし、診断項目は少ない設定での診断サービス。

• 

  モバイルアプリ診断

  スマートフォン向けアプリケーション（iOS/Andloid）と連携するサーバのプログラムに存在する脆弱性を診断するサービス。（MASVS-L2/MASVS-L1）

• 

  ペネトレーションテスト

  侵入実験・侵入テストを意味するもので、攻撃者がセキュリティ機能を無効化して攻撃に成功するかどうかを検証するテストサービス。

• 

  フォレンジック調査

  運営サイトや社内サーバなどがハッキング被害・サーバ攻撃・ウィルス被害を受けた可能性があるとき、調査から復旧までを行うサービス。

• Webアプリケーション

  Webアプリケーション診断

  お客様が独自に構築したWebアプリケーション（CGI、ASPなど）に対して、セキュリティ専門家が攻撃者の視点から様々な疑似攻撃を考察・試行 することで、Webアプリケーションの安全性を徹底的に調査するサービス

  診断对象：Webサイト (Webアプリケーション)

  主な診断項目：SQLインジェクション、クロスサイト・スクリプティングなど

  診断手法：マニュアル

• ミドルウェア・OS・ネットワーク

  プラットフォーム診断

  お客様のサーバー・ネットワーク機器の環境（OS、ミドルウェア）に対して、セキュリティ専門家が攻撃者の視点から既知となる脆弱性を調査するサービス

  診断对象：IPアドレス

  主な診断項目：ポートスキャン、OS・ミドルウェアの脆弱性診断

  診断手法：マニュアル

サービス情報

主なセキュリティ脆弱性診断
（Webアプリケーション診断･プラットフォーム診断）　提供内容

項目	内容
診断手法	エンジニアによるマニュアル診断
診断場所	リモート もしくは オンサイト ※価格面及びリソース調整の観点からリモート診断を推奨
診断時間	平日日中（休日、夜間対応も可） ※価格面及びリソース調整の観点から平日日中の診断を推奨
速報	クリティカルなリスクを見つけた場合は即時報告
納品物	Webアプリケーション診断報告書 プラットフォーム診断報告書
再診断	リスクレベルに応じて、初回診断後１ヶ月以内であれば無償対応（1回のみ） 再診断後も改めてレポート提出
報告会	無償にて対応
アフター フォロー	初回診断後、3ヶ月は無償にて対応

セキュリティ脆弱性診断項目一覧

高度なスキルと豊富な経験を持つ技術者が診断を実施。クレジットカー ド業界のセキュリティ基準(PCIDSS)、脆弱性診断ツールの開発コミュニ ティ(OWASP)の基準に準じた診断をはじめ、高い精度の診断で全脆 弱性をカバーします。

WEBアプリケーション診断　
主な項目

• 脆弱なパスワードの存在

  HTTPS（SSL）の設定不備

  アクセス制御機構の不備

  クロスサイトスクリプティング

  バッファオーバーフロー

  SQLインジェクション

  ディレクトリ内容表示

  HTMLソース内のコメント検証

  サービス妨害

  クロスサイトリクエストフォージェリ

• 認証設定の不備

  SSL証明書の妥当性検証

  セッション終了処理の不備

  コンテンツ詐称

  LDAPインジェクション

  SSIインジェクション

  ディレクトリトラバーサル

  各種情報漏洩

  自動アクセス防止の不備

• パスワードリマインダの不備

  推測可能なセッションID

  セッションフィクセイション

  HTTPレスポンススプリッティング

  OSコマンド実行

  Xpathインジェクション

  強制ブラウジング

  機能の悪用

  迷惑メールの送信

プラットフォーム診断　
主な項目

• ハードウェアの存在確認

  稼働中のサービスからの情報取得

  脆弱性の知られているCGIの存在

  サービス運用妨害(DoS)の可能性

  DNS再帰的問合せの可否

  Webサーバ上のデフォルトコンテンツの存在

  不適切なSSLサーバ証明書の利用

  バックドア検出

• ポートスキャン

  OSやミドルウェアの既知の脆弱性

  アカウントポリシーの調査

  サーバ設定上の問題

  DNSダイナミックアップデートの可否

  不要なファイルの存在

  メールサーバによるユーザ情報漏洩

  エラーメッセージによる情報漏洩

  プライベートアドレスの漏洩

• 不備と思われるサービスの稼働

  脆弱なパスワード設定

  FTPやSSH等の既知の脆弱性

  DNSゾーン転送の可否

  メール不正中継の可否

  Proxy設定の不備

  ワーム感染の有無

他社サービスとの比較

項目	当社 （アイロバ）	A社	B社
診断項目数	約40,000	約8,000	約5,000
診断手法	マニュアル	ツール＋マニュアル	ツール＋マニュアル
報告会	標準	オプション	オプション
脆弱箇所の 対策	オプション	なし	なし
再診断	無償対応（1回のみ）	オプション	オプション
報告会までの スピード	2週間	1.5ヶ月	1ヶ月
対策の提案、 及び実施	可能	提案のみ	不可