脆弱性診断

脆弱性診断とは

豊富な診断実績を有するセキュリティエンジニアが診断を実施し、WEBサイト、アプリケーション等の脆弱性やリスクを洗い出し報告するとともに、推奨改善案を提示します。

サービス概要

脆弱性やセキュリティ上の問題点を網羅的に診断して検出します。

play button

診断の流れ

  • STEP 1 
    調査

    ヒアリングした情報をもとに実際にアクセスし、診断対象を調査します。

  • STEP 2 
    お見積り

    調査結果をもとにお見積りをお出しします。

  • STEP 3 
    脆弱性診断

    セキュリティエンジニアが攻撃者の観点から診断を行い、設定不備やセキュリティ対策漏れによる脆弱性を検出します。

  • STEP 4 
    実施結果報告

    脆弱性の結果から、ビジネスに与えうる影響についてご報告します。推奨される施策等についても提案させて頂きます。

基本サービス
  • 緊急速報

    診断中に危険度の高い問題が検出された場合、メールにて報告します。

  • 報告書

    検出された脆弱性の詳細内容/対策の解説等を報告します。
    (電子データ:PDF形式)

  • QAサポート

    報告書提出後、報告書の記載内容に関するお問い合わせに回答します。

  • 再診断

    検出された脆弱性に対し、貴社での対応が完了した後に再診断を実施します。

オプションサービス
  • 報告会

    検出された脆弱性の解説、対策の説明等の報告会をお客さまのご都合の良い日時、場所にて実施します。

  • 緊急速報

    診断中に危険度の高い問題が検出された場合、メールにて報告します。

  • 報告書

    検出された脆弱性の詳細内容/対策の解説等を報告します。
    (電子データ:PDF形式)

  • QAサポート

    報告書提出後、報告書の記載内容に関するお問い合わせに回答します。

  • 再診断

    検出された脆弱性に対し、貴社での対応が完了した後に再診断を実施します。

WEBアプリ診断

該当するWEBアプリケーションに対し、ツールでの診断を行いつつ、ツールでは検出不可能な診断を手動で実施します。

診断項目例

入出力処理 クロスサイトスクリプティング(XSS)、SQLインジェクション、コマンドインジェクション、ディレクトリトラバーサル、ファイルアップロード、HTTPヘッダインジェクション、フィッシング詐欺サイトへの誘導、パラメータ改ざん、メールの第三者中継
認証 ログインフォームに関する調査、ログインエラーメッセージの調査、ログイン・個人情報の送受信に関する調査、アカウントロック機能、ログアウト機能、認証の回避
認可 権限昇格、権限のない情報へのアクセス
セッション管理 Cookieのsecure属性、Cookieの有効期限、セッションIDのランダム性確認、セッション固定、セッションの強制指定、クロスサイトリクエストフォージェリ(CSRF)
WEBサーバー設定 許可されているHTTPメソッド、サーバーエラーメッセージ、システム情報の開示
WEB 2.0 Flashコンテンツの脆弱性、Ajaxコンテンツの脆弱性
一般的な脆弱性 既知のソフトウェア脆弱性、強制ブラウジング、ディレクトリリスティング

ネットワーク診断

診断対象ネットワークに存在するサーバーやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。

※一般的な脆弱性を診断した上で、攻撃者の視点に立つ手作業で診断を実施します。

診断項目例

ホストのスキャン ポートスキャン
実行中のサービスの検出
ネットワークサービスの
脆弱性
DNSに関する調査
メールサーバーに関する調査
WEBサーバーの脆弱性
FTPに関する調査
Windowsネットワークサービスに関する調査
SNMPに関する調査
SSHサーバーに関する調査
データベースサーバーに関する調査
各種OSの脆弱性 Windowsの既知の脆弱性
その他各種OSの既知の脆弱性
悪意あるソフトウェア バックドアの調査
P2Pソフトウェアの調査
ネットワーク機器の脆弱性 各種ネットワーク機器の既知の脆弱性

スマホアプリ診断

iOSやAndroidアプリ等のスマホアプリにセキュリティ上の問題点がないか診断します。

サービスに関するお問い合わせ、その他のご相談については、こちらへ

SOMPOホールディングスグループは、
お客さまの「安心・安全・健康」に資する
最高品質のサービスをご提供し、
社会に貢献します。

page top