ソフトウェアテスト(第三者検証)の
エキスパート ヴェス
ホーム > サービス > セキュリティ診断サービス

  • セキュリティ診断サービス Webサイト、アプリケーション、IoT機器は安全ですか?
    安全で快適なシステムを提供するため、
    セキュリティの専門検証技術者が徹底サポートいたします。

    資料ダウンロード
    お問い合わせ
  • Solution

    セキュリティ診断サービス

    ヴェスが提供するセキュリティ診断は、Webサイトやwebサイト上で動作するWebアプリケーションだけでなく、IoT機器などのプラットフォームも対象にしています。
    その中でも最もご要望が多いのがwebアプリケーション診断です。この診断では、お客様のWebアプリケーションに実際の不正アクセスを模擬した攻撃を行い、脆弱性を検出する診断サービスとなっております。
    webアプリケーション診断に限らず、弊社の脆弱性診断については、診断ツールを使った自動診断と、脆弱性診断に精通したセキュリティ・エンジニア自身が担当する手動診断の両方を合わせたハイブリッド診断のスタイルで行います。
    また診断結果については、検出された脆弱性を修正するために必要な、脆弱性の原因、問題箇所、修正方法など、開発者向けの情報をまとめるだけでなく、経営者レベルの方にとって重要となる診断結果からのリスク分析についても分かりやすくまとめて報告書で提出いたします。

こんな課題抱えていませんか?

  • リリース前に脆弱性に対するリスクの有無を確かめたい
  • 脆弱性に対する報告の提示を求められている
  • どんな脆弱性リスクがあり、なんの診断をすればいいのかが分からない

Melit

01

Webアプリケーション
標準診断サービス

Melit

02

Webアプリケーション
特急診断コース

Melit

03

お客様のニーズに合わせた
カスタマイズ診断コース

Melit

04

プラットフォーム
診断サービス

  • Merit 01 Webアプリケーション標準診断サービス

    Webアプリケーション標準診断は、ヴェスのWebアプリケーション脆弱性診断の基盤となる診断サービスです。一般的なWebアプリケーションの脆弱性から、セッション管理の脆弱性を含むヴェスが実施可能なWebアプリケーション診断項目の全ての診断を行います。開発中/運用中のWebアプリケーションにおける脆弱性について徹底的に診断を行いたい場合や、クレジットカード業界のセキュリティ基準であるPCI DSSやISMSの要求事項を定めたISO27001に準拠した診断結果のエビデンスが必要となる場合に最適なサービスです。

  • Merit 02 Webアプリケーション特急診断コース

    Webアプリケーション特急診断は、Webアプリケーション診断結果の報告スピードを重視したいお客様に最もメリットが発生する診断です。特定のWebページに対して、診断項目や診断レベルを落とすことなく、診断終了後の≒10日前後で「危険なポイント」を中心に詳細な報告書を提出いたします。特に、小規模な診断ページに対して診断を行う場合には、診断コストを効果的に抑えることができます。

  • Merit 03 お客様のニーズに合わせたカスタマイズ診断コース

    お客様のニーズに合わせた診断コースをご提供します。
    Webアプリケーションだけで無く、プラットフォームやシステム構成等を合わせた診断サービスも対応可能。

  • Merit 04 プラットフォーム診断サービス

    プラットフォーム診断は、「OS」「ミドルウェア」「ネットワーク機器」に関する脆弱性を検査する診断です。 IoT機器に対する脆弱性診断も行うのが特徴となっています。 ご要望に応じて、機器の脆弱性診断だけでなく、上流工程における仕様書からの脆弱性の抽出も行っております。
Detail

脆弱性診断項目

  • 01 業界標準の脆弱性項目をもれなくカバーする診断項目

    OWASP(OWASP Top Ten Project)WASC(The WASC Threat Classification v2.0)SANS(CWE/SANS TOP 25 Most Dangerous Programming Errors)など、代表的なセキュリティ団体か掲げる脆弱性項目は、セキュリティ業界において標準的な位置付けにあり、Webアプリケーション診断で、これらの「脆弱性項目」を網羅しているかは、「診断品質」を量る為の一つの目安となります。
    業界標準の脆弱性項目を漏れなくカバーする診断項目
    団体名 脆弱性項目 VES対応
    OWASP OWASP Top Ten Project
    (OWASP(OWASP Top Ten Project))
    WASC WASC Threat Classification v2.0
    (http://projects.webappsec.org/w/page/13246978/Threat-Classification)
    SANS CWE/SANS TOP 25 Most Dangerous Programming Errors
    (http://cwe.mitre.org/top25/)

  • 02 診断項目一覧

    Webアプリケーション診断では、以下の診断項目を診断しています。
    診断項目 セッション管理に関する欠陥 Webアプリにおける一般的な欠陥
    ・アクセス制御の欠如
    ・ファイルに対するアクセス制御の欠如
    ・ユーザ識別の欠如
    ・ID 空間の小さすぎるセッション追跡パラメータの使用
    ・規則的なセッション追跡パラメータの使用
    ・推測可能なセッション追跡パラメータの使用
    ・URL パラメータによるセッション追跡
    ・外部サイトへのリンクでセッション追跡パラメータがRefererとして漏えいする
    ・cookieによるセッション追跡
    ・TRACEメソッドによるAuthorizationヘッダ漏えいの可能性
    ・暗号化されないアクセスに個人情報が含まれる
    ・暗号化されないアクセスにセッション追跡パラメータが含まれる
    ・暗号化されないページへのリンクでのセッション追跡パラメータReferer送出
    ・暗号化されないページへのリンクでのセッション追跡用cookie平文送出
    ・セキュアでないcookieの使用
    ・http上のログイン画面
    ・ルートフレームがhttpにあるサブフレーム上のログイン画面
    ・異なるセッションで同一セッション追跡パラメータの使用
    ・永続的cookieの使用
    ・ログアウト機能の欠如
    ・ログアウト後のサーバセッションの残存
    ・サーバセッションの長時間にわたる残存
    ・クレジットカード番号の表示
    ・パスワードの出力     		・パラメータの改ざん
    ・Hidden フィールドの不正操作
    ・クロスサイトスクリプティング(XSS)
    ・バッファオーバーフロー
    ・コマンド・インジェクション
    ・SQL インジェクション
    ・強制ブラウジング
    ・サードパーティ製品の設定ミス
    ・既知の脆弱性
    ・バックアップファイルの検出
    ・バックドアとデバッグオプション
    ・HTML 中のコメント
    ・ディレクトリトラバーサル
    ・不適切なエラーハンドリング
    ・クロスサイトリクエストフォージェリ(CSRF)
お問い合わせ
03-6277-0440

資料ダウンロード

ソフトウェアの品質向上に関するお役立ち資料や、ヴェスのサービス資料をご用意しています。
ダウンロード
Copyright cVes All Rights Reserved.