Webアプリケーション診断

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。

Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。
サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。

Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。

サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。

Webアプリケーションは、インターネットを通じてWebブラウザ上で動作するアプリケーションであり、顧客との接点や業務の中核を担う重要な存在です。しかし、インターネットに公開されているという性質上、常に悪意ある攻撃者の標的となりやすく、その特性に起因する多様なセキュリティリスクに晒されています。Webアプリケーションを通じたサイバー攻撃被害が発生すると、企業の信頼失墜、事業停止、法的責任、経済的損失といった深刻な影響をもたらす可能性があります。以下、主要なリスクについてそれぞれ解説します。

情報漏洩

Webアプリケーションの脆弱性が悪用されると、顧客の個人情報、クレジットカード情報、企業の機密情報、認証情報などが外部に漏洩する危険性があります。例えば、SQLインジェクションやディレクトリトラバーサルといった攻撃手法により、データベースやファイルシステム内の機密データが不正に窃取される事例は後を絶ちません。ひとたび情報漏洩が発生すれば、顧客からの信頼は失われ、損害賠償請求やブランドイメージの毀損など、企業の存続を揺るがす事態に発展する可能性があります。

Webサイト改ざん

Webサイト改ざんは、攻撃者がWebアプリケーションの脆弱性を利用して、Webサイトの表示内容を不正に変更する行為です。クロスサイトスクリプティング(XSS)や不正なファイルアップロードなどがその典型的な手口として挙げられます。改ざんされたサイトは、誤情報の発信源となるだけでなく、閲覧者にマルウェアを感染させたり、フィッシング詐欺の踏み台として悪用されたりする危険性があります。これにより、企業は風評被害、顧客の被害、そして改ざんされたサイトの復旧にかかる多大なコストと時間の問題に直面します。

不正アクセス・乗っ取り

Webアプリケーションの認証機能やセッション管理の不備を狙った不正アクセスは、ユーザーアカウントの乗っ取りや、管理者権限の奪取に繋がり得ます。パスワードリスト攻撃、ブルートフォース攻撃、セッションハイジャックなどがその代表例です。不正アクセスにより、攻撃者は正規の利用者になりすまし、機密情報の閲覧・操作、不正な取引の実行、さらにはWebアプリケーション全体の機能を悪用する可能性があります。これは、直接的な金銭的被害だけでなく、企業の信用失墜や業務プロセスの混乱を引き起こします。

サービス停止・業務妨害

Webアプリケーションの脆弱性を悪用した攻撃は、サービスの可用性を著しく損ない、事業継続を脅かすリスクを伴います。大量のアクセスを送りつけるDoS/DDoS攻撃(サービス拒否攻撃)や、アプリケーションの処理能力を意図的に低下させる攻撃により、Webサイトやサービスが利用不能になることがあります。また、脆弱性を突かれてシステムがクラッシュしたり、重要な機能が停止したりすることも考えられます。これにより、オンラインでのビジネス機会の損失、顧客サポートの中断、社内業務の停滞など、広範囲な業務妨害に繋がり、多大な経済的損失を招く可能性があります。

法規制・コンプライアンス違反

Webアプリケーションのセキュリティ対策の不備は、国内外の様々な法規制や業界基準への違反リスクに直結します。日本の個人情報保護法、EUのGDPR(一般データ保護規則)、各業界が定めるセキュリティガイドラインなど、企業には情報保護に関する厳格な遵守義務があります。Webアプリケーションの脆弱性を通じて情報漏洩や不正アクセスが発生した場合、企業はこれらの法規制に違反し、高額な罰金、行政指導、さらには刑事罰の対象となる可能性があります。コンプライアンス違反は、企業の社会的信用を大きく損なうだけでなく、事業活動そのものに制限がかかる事態も引き起こします。
Webアプリケーション診断は、WebブラウザからWebサーバに送信されるリクエストに含まれる各種パラメータ(hiddenパラメータを含む)をツールや手動で改ざんし、そのレスポンスからWEBアプリケーションの脆弱性を判断します。
作業は、目視での異常検知と負荷調整、充分なインターバルをとり、システムへの影響を考慮して障害発生について最大限に配慮して行います。
また、Webアプリケーションのソースコード診断も可能です。
診断項目はIPA※が示す脆弱性を網羅し、「セッション管理の不備」「クロスサイトスクリプティング」などの26項目を実施します。

※IPA(独立行政法人情報処理推進機構)「安全なウェブサイトの作り方」
GSXのWebアプリケーション診断は20年の実績を持つ高度な診断サービスです。
診断を実施するエンジニアはセキュリティ資格保持者で、最新・最先端のハッキング技術を有しています。
  • 多様な診断対象への対応、豊富な診断メニュー

    多様な診断対象への対応、豊富な診断メニュー

    • お客様のご要望に応じて、コストメリットの高いプランをご提案します。
    • Webアプリケーションだけでなく、スマホネイティブアプリ、クラウドなどの脆弱性診断にも対応。PCクライアントアプリ等の特殊なアプリ、IPv6などへの診断も実施可能です。
    • インターネット経由、オンサイト診断、夜間や休日を利用した診断など、診断方法や場所(リモート/オンサイト)もご相談に応じます

  • 実践的なスキルを習得する学習環境を完備

    診断後の具体策を総合的にご提案

    • WebアプリケーションファイアウォールやIDS/IPSといった製品のご提案
    • 脆弱性診断の社内実施体制を構築する脆弱性診断ツールの販売・使用トレーニング
    • セキュリティ人材の育成・資格取得サービス
    • セキュア開発ガイドライン作成
    セキュリティ人材の教育サービスはこちら

独立行政法人情報処理推進機構(IPA)「情報セキュリティサービス基準適合サービスリスト」に登録

GSXの脆弱性診断サービスは、経済産業省の定める「情報セキュリティサービス基準」に適合するサービスとして、独立行政法人情報処理推進機構(IPA)の「情報セキュリティサービス基準適合サービスリスト」に登録されています。
※情報セキュリティサービス基準審査登録制度「情報セキュリティサービス台帳」はこちら
※IPA(独立行政法人情報処理推進機構)「情報セキュリティサービス基準適合サービスリスト」はこちら

01|お見積り・ご発注

診断対象などを選定の後、お見積書を作成します。診断期間や対象などを決定の上、お見積内容に基づき、ご発注いただきます。

02|事前調整・内容確認書作成

診断内容確認書を作成します。必要に応じて事前の導通確認など細部の確認を行います。スマホアプリ診断の場合、対象ファイルをお預かりします。

03|診断

ご指定の時間帯で診断作業を行います。基本は、平日日中(10時~18時)です。夜間、休日をご希望の場合は、ご契約前にお申し付けください。

04|速報

診断中に緊急度の高い脆弱性が発見された場合、速報としてご連絡します。※ご要望の場合のみ。ご契約時にご依頼ください。

05|結果分析/報告書作成

診断結果を報告書として取りまとめ、納品いたします。※診断終了後10営業日以内

06|報告会

専門エンジニアが内容を説明する報告会を開催します。

07|再診断

脆弱性が検出された箇所をお客様側で改修された後、同様の脆弱性が検出されないかを再度診断します。

Webアプリケーション診断

Webアプリケーション診断では、以下の診断項目を対象とします。
No. 診断項目 危険度 ツール 手動 IPA

1

セッション管理の不備

2

セッションフィクセーション

3

クロスサイトリクエストフォージェリ

4

クロスサイトスクリプティング

高〜中

5

クリックジャンキング

6

SQLインジェクション

7

OSコマンドインジェクション

8

ディレクトリトラバーサル

9

SSIインジェクション

10

XMLインジェクション

11

XPathインジェクション

12

XQueryインジェクション

13

LDAPインジェクション

14

MXインジェクション

15

HTTPレスポンスの分割

16

リモートファイルインクルード

17

通信の暗号化

18

証明書の不備

19

Referrerによる情報漏洩

20

ユーザID等の調査

21

詳細なエラーメッセージ

22

拡張子偽造

高〜低

23

コメント・デバッグ情報

高〜低

24

アプリケーション固有の問題

高〜低

25

フォーマットストリング

高〜低

26

バッファオーバーフロー

高〜中

スマートフォン向けWebアプリケーション診断

スマートフォンの実機を用い、無線LANルータ及び診断端末を経由し対象に対して診断を実施します。

主な診断項目(一部抜粋)
SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
セッション管理の不備(パラメータ改ざん等)
クロスサイトリクエストフォージェリ(CSRF)
他ユーザーへのなりすまし
セッションフィクセーション
通信の暗号化の不備
証明書の不備  など

診断の実施場所

基本はリモートでの実施となります。ご要望があればオンサイトでの実施にも対応します。

診断の実施可能日

基本は平日日中です。
診断結果は報告書を作成して納品いたします。「問題とその原因」「考えられる被害」「具体的施策」などの項目に沿って結果報告と改善策をご提案します。

報告書(例)

報告書(例)
CISO講座
お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。
■脆弱性診断とは?
脆弱性診断とは、情報システムのセキュリティ上の弱点(脆弱性)を洗い出し、その危険性を評価するプロセスです。
サイバー攻撃による情報漏洩やシステム停止などのリスクを未然に防ぐために行われます。
診断対象や手法によって、ネットワーク診断、Webアプリケーション診断など様々な種類があります。

■脆弱性診断とペネトレーションテストの違いは?
脆弱性診断は、情報システムのセキュリティ上の弱点(脆弱性)を洗い出し、その危険性を評価するプロセスです。
一方、ペネトレーションテストは、攻撃者の視点に立ち、実際の攻撃手法を用いてシステムへの侵入を試みるテストです。
脆弱性診断が「健康診断」なら、ペネトレーションテストは「模擬攻撃演習」といえるでしょう。

■脆弱性診断の手順は?
  • 1.対象範囲の決定:診断するシステムの範囲を明確にします。
  • 2.調査準備:具体的な診断対象の情報(IPアドレスやURL等)を収集します。
  • 3.実査:専用ツールや手動により、脆弱性を検出します。
  • 4.診断結果の分析・評価:検出した脆弱性の危険度や影響範囲を評価します。
  • 5.結果のまとめ:危険度や影響範囲から脆弱性を解消する優先度などをまとめ、対象システムの担当者に連携します。
  • 6.解消された脆弱性の再診断:必要に応じて、解消されたはずの脆弱性を再診断します。