脆弱性診断サービス

WEBアプリケーション診断

脆弱性を早期に発見し、情報漏えいやサービス停止など
深刻なリスクから、事業の未来を守ります。

Risks

WEBアプリケーション診断で
可視化できる代表的なリスク

近年、WEBアプリケーションを標的にしたサイバー攻撃は増加の一途をたどっています。
OWASP Top10をはじめとする既知の脆弱性が悪用されるケースは後を絶たず、情報漏えい・改ざん・サービス停止など、事業に直結する被害が発生します。
WEBアプリケーション診断は、こうした脅威を未然に防ぐための最重要プロセスです。

SQL INJECTION

SQLインジェクション

悪意のあるSQLを入力することで、データベースに不正アクセスし、顧客情報・個人情報・認証情報などを丸ごと窃取・改ざんされる。
企業の信頼を根底から覆す重大インシデントに直結。
CROSS-SITE SCRIPTING

クロスサイト
スクリプティング（XSS）

攻撃者がWEBページに悪意のあるスクリプトを埋め込み、閲覧したユーザーのクッキー・セクション情報を窃取。
なりすましログインや偽画面による詐欺に悪用される。
BROKEN AUTH & ACCESS

認証・認可の不備

パスワードポリシーの欠陥や多要素認証の未導入により、不正ログインを許す。
アクセス制御の設計ミスで、本来見せてはならない他ユーザーのデータを閲覧・操作される。
CSRF

クロスサイト
リクエストフォージェリ（CSRF）

ユーザーが意図しない操作（送金・設定変更・投稿など）を、攻撃者が用意した罠ページ経由で強制的に実行させる。
ログイン状態を悪用するため被害に気づきにくい。
PATH TRAVERSAL

パストラバーサル・
ファイルインクルード

ファイルパスを細工したリクエストにより、公開を想定していないシステムファイル・設定ファイルが読み取られる。
サーバーの構成情報や認証情報が流出し、さらなる被害の足がかりになる。
MISCONFIGURATION

セキュリティ設定の不備

デフォルト設定のまま運用されたミドルウェアや、公開すべきでないデバック画面・管理画面の露出など、運用上の見落としが攻撃者の格好の足がかりになる。

Features

SOMPO CYBER SECURITY WEBアプリケーション診断の特長

長年にわたり培ってきた金融グループ水準の診断ノウハウと、網羅性・精度・報告品質。
SOMPO CYBER SECURITYのWEBアプリケーション診断は、貴社の事業を継続的にお守りします。

診断内容を見る報告書について

POINT 01
環境に合わせた
柔軟な診断提案

事前にクローリングを実施し、診断対象となるページリクエスト数を可視化したうえで、お客さまの環境に最適な診断内容とお見積りを提案します。
POINT 02
網羅的且つ
精度の高い診断

ツールによって広範囲で効率よく確認しつつ、自動では検知しきれない認証後の画面や業務ロジックに潜む脆弱性、設定不備なども人の目で丁寧に検証します。
POINT 03
第三者への提出にも
対応した診断報告書

診断結果は、取引先や官公庁など第三者への提出を想定した、分かりやすく信頼性の高い報告書として提出します。

019-0030-20

情報セキュリティサービス基準適合

独立行政法人情報処理推進機構（ＩＰＡ）の「情報セキュリティサービス基準適合サービスリスト」に登録されています。

情報セキュリティサービス台帳

Service

WEBアプリケーション診断サービス

経験豊富なセキュリティエンジニアが、攻撃者視点で徹底的に検証し、
実害につながるリスクと具体的な対策を提案します。

WEBアプリケーション診断

WEBアプリケーションに潜在する脆弱性を診断します。
診断ロケーションは基本リモート診断で実施いたしますが、お客さまの状況に応じてオンサイト診断も可能です。

2つの診断方式からお選びいただけます

インターネット経由で外部から診断を実施

攻撃者と同じ視点で、外部からアクセス可能な領域の脆弱性を網羅的に診断します。

診断担当者

インターネット

WEBサーバー/
アプリケーション

こんな方におすすめ

公開されているWEBサイトやサービスの安全性を確認したい
攻撃者目線での脆弱性を確認したい
短期間で効率的に診断を完了したい

お客さま社内ネットワークから診断を実施

社内システムや管理画面など、外部からはアクセスできない領域の脆弱性を詳細に診断します。

診断担当者

社内ネットワーク

社内システム
（管理画面など）

データベース

こんな方におすすめ

社内システムや管理画面の安全性を確認したい
外部からはアクセスできない領域を診断したい
より深く、詳細な診断を実施したい

選び方のポイント

まずはリモート診断で外部公開領域のリスクを把握

必要に応じてオンサイト診断で内部領域を深堀・確認

包括的なリスク把握対策の最適化

診断項目

WEBアプリケーションに潜む脆弱性を網羅的に診断します。この他にもお客さまの環境に応じた診断を実施いたします。

各項目をクリックし、詳細をご確認いただけます。

診断内容

クロスサイトスクリプティング（XSS）
SQL インジェクション
コマンドインジェクション
ディレクトリトラバーサル
ファイルアップロード
HTTP ヘッダインジェクション
フィッシング詐欺サイトへの誘導
パラメータ改ざん
メールの第三者中継
サーバサイドリクエストフォージェリー（SSRF）
サーバサイドテンプレートインジェクション（SSTI）

診断内容

ログインフォームに関する調査
ログインエラーメッセージの調査
ログイン・個人情報の送受信に関する調査
アカウントロック機能
ログアウト機能
認証の回避
脆弱なパスワードポリシー

診断内容

権限昇格
権限のない情報へのアクセス
管理画面への容易なアクセス

診断内容

Cookie の secure 属性
Cookie の有効期限
セッション ID のランダム性確認
セッション固定
セッションの強制指定
クロスサイトリクエストフォージェリ（CSRF）

診断内容

許可されている HTTP メソッド
サーバエラーメッセージ
システム情報の開示
クリックジャッキング対策の推奨事項
キャッシュ制御の不備

診断内容

既知のソフトウェア脆弱性
強制ブラウジング
ディレクトリリスティング

ソースコード診断

WEBアプリケーションのソースコードに潜在する脆弱性を診断します。
ソースコードを受領し、当社ネットワーク内で実施します。

診断担当者

ソースコード受領

診断実施
（当社環境）

こんな方におすすめ

公開前または継続的にセキュリティ品質を担保したい
内部ロジックの脆弱性まで洗い出したい
セキュアコーディングの観点で改善したい

診断項目

ソースコードに潜む脆弱性を網羅的に診断します。この他にもお客さまの環境に応じた診断を実施いたします。

各項目をクリックし、詳細をご確認いただけます。

診断内容

クロスサイトスクリプティング（XSS）
SQL インジェクション
コマンドインジェクション
ディレクトリトラバーサル
ファイルアップロード
HTTP ヘッダインジェクション
パラメータ改ざん

診断内容

セッション ID 使用状況
Cookie 使用状況
ユーザ認証処理
情報の取り扱い
クロスサイトリクエストフォージェリ（CSRF）

診断内容

エラー情報からロジック流出
アプリケーション・ログの取得
レースコンディション（マルチスレッド）
セキュア・プログラミング
バックドア・デバックオプションの存在

診断内容

JavaScript 許可状況
VBScript 許可状況
JScript 許可状況
カスケーディング・スタイルシート許可状況
JavaApple 使用状況チェック
Ajax API 実装チェック

診断結果の報告について

診断の結果につきましては、検出された脆弱性の具体的な内容・再現方法・そのリスクや対策方法をなどをまとめたPDFにてご提供いたします。

POINT 01

緊急度の高い脆弱性を即時に通知

緊急性の高い脆弱性確認時には即時メールにてご報告
POINT 02

対応すべき脆弱性の優先順位が明確

検出された脆弱性ごとに危険度が記載されているため、対策の優先度が明確
POINT 03

具体的な対策まで提示

検出された脆弱性への具体的な対策案までご提示

Flow

サービス提供の流れ

お問い合わせからご報告、再診断まで。各フェーズで担当者が密に連携しながら、貴社にフィットした進行でご提供します。

STEP 01

事前ヒアリング・お見積
約5～10営業日

事前ヒアリングにより、診断対象範囲を確定します。
その後、診断対象のWEBアプリケーションの「動的リクエスト機能」を確認するためのクローリング作業を実施し、お見積りを提示いたします。
STEP 02

診断実施
30リクエストで約5営業日

診断範囲に対して、自動診断ツールや脆弱性DBを用いた網羅的な診断を行い、設定不備や、対策漏れによる脆弱性を検出します。さらに、ツール等では検出できない診断項目を攻撃者の観点からすべて手動で確認します。
STEP 03

報告書の作成・ご提出
約10～15営業日

検出された脆弱性の詳細内容、ビジネスへの影響・リスクを記載した報告書を提出します。
（脆弱性の具体的な再現方法・手順や推奨される対応策も提供します。）事業運営の観点から推奨される施策等についても提案させていただきます。
STEP 04

オンライン報告会
オプション

報告書の内容に基づき、検出された脆弱性に対する攻撃方法や対策案、質疑応答や最新の脅威情報など、トレンドも含めた詳細な報告会を実施します。
専門職ではない経営層にも一緒にご参加いただくことで、社内の危機感の共有と、その後の対策に向けた意思決定をスムーズに行っていただけるメリットがあります。
STEP 05

再診断

検出された脆弱性に対し、お客さまによる改修対応等完了後に、再度診断を実施させていただきます。
※初回診断の報告書のご提出後、3ヵ月以内まで