Webアプリケーション診断

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。

Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。
サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。

GSXメールマガジン登録オトクな情報をお届けします

Webアプリケーション/Web APIの脆弱性診断を行い、Webサイト経由のサイバー攻撃に対する弱点がないかを診断するサービスです。ツールと手動による検査を併用し、精度の高い脆弱性診断を実施します。IPAで示されている脆弱性を診断項目として網羅し、システムへの影響、起因する障害発生について最大限に配慮して診断を実施します。

Webアプリケーション診断をお急ぎなら最短3日の「Web脆弱性診断クイック」で対応します。

サーバやネットワーク機器の脆弱性診断は「プラットフォーム診断」にて承ります。

GSXメールマガジン登録オトクな情報をお届けします

特長/強み
実施フロー・プロセス
サービスメニュー
成果物

Webアプリケーション特有の主要なリスク

Webアプリケーションは、インターネットを通じてWebブラウザ上で動作するアプリケーションであり、顧客との接点や業務の中核を担う重要な存在です。しかし、インターネットに公開されているという性質上、常に悪意ある攻撃者の標的となりやすく、その特性に起因する多様なセキュリティリスクに晒されています。Webアプリケーションを通じたサイバー攻撃被害が発生すると、企業の信頼失墜、事業停止、法的責任、経済的損失といった深刻な影響をもたらす可能性があります。以下、主要なリスクについてそれぞれ解説します。

情報漏洩

Webアプリケーションの脆弱性が悪用されると、顧客の個人情報、クレジットカード情報、企業の機密情報、認証情報などが外部に漏洩する危険性があります。例えば、SQLインジェクションやディレクトリトラバーサルといった攻撃手法により、データベースやファイルシステム内の機密データが不正に窃取される事例は後を絶ちません。ひとたび情報漏洩が発生すれば、顧客からの信頼は失われ、損害賠償請求やブランドイメージの毀損など、企業の存続を揺るがす事態に発展する可能性があります。

Webサイト改ざん

Webサイト改ざんは、攻撃者がWebアプリケーションの脆弱性を利用して、Webサイトの表示内容を不正に変更する行為です。クロスサイトスクリプティング（XSS）や不正なファイルアップロードなどがその典型的な手口として挙げられます。改ざんされたサイトは、誤情報の発信源となるだけでなく、閲覧者にマルウェアを感染させたり、フィッシング詐欺の踏み台として悪用されたりする危険性があります。これにより、企業は風評被害、顧客の被害、そして改ざんされたサイトの復旧にかかる多大なコストと時間の問題に直面します。

不正アクセス・乗っ取り

Webアプリケーションの認証機能やセッション管理の不備を狙った不正アクセスは、ユーザーアカウントの乗っ取りや、管理者権限の奪取に繋がり得ます。パスワードリスト攻撃、ブルートフォース攻撃、セッションハイジャックなどがその代表例です。不正アクセスにより、攻撃者は正規の利用者になりすまし、機密情報の閲覧・操作、不正な取引の実行、さらにはWebアプリケーション全体の機能を悪用する可能性があります。これは、直接的な金銭的被害だけでなく、企業の信用失墜や業務プロセスの混乱を引き起こします。

サービス停止・業務妨害

Webアプリケーションの脆弱性を悪用した攻撃は、サービスの可用性を著しく損ない、事業継続を脅かすリスクを伴います。大量のアクセスを送りつけるDoS/DDoS攻撃（サービス拒否攻撃）や、アプリケーションの処理能力を意図的に低下させる攻撃により、Webサイトやサービスが利用不能になることがあります。また、脆弱性を突かれてシステムがクラッシュしたり、重要な機能が停止したりすることも考えられます。これにより、オンラインでのビジネス機会の損失、顧客サポートの中断、社内業務の停滞など、広範囲な業務妨害に繋がり、多大な経済的損失を招く可能性があります。

法規制・コンプライアンス違反

Webアプリケーションのセキュリティ対策の不備は、国内外の様々な法規制や業界基準への違反リスクに直結します。日本の個人情報保護法、EUのGDPR（一般データ保護規則）、各業界が定めるセキュリティガイドラインなど、企業には情報保護に関する厳格な遵守義務があります。Webアプリケーションの脆弱性を通じて情報漏洩や不正アクセスが発生した場合、企業はこれらの法規制に違反し、高額な罰金、行政指導、さらには刑事罰の対象となる可能性があります。コンプライアンス違反は、企業の社会的信用を大きく損なうだけでなく、事業活動そのものに制限がかかる事態も引き起こします。

Webアプリケーション診断の概要

Webアプリケーション診断は、WebブラウザからWebサーバに送信されるリクエストに含まれる各種パラメータ（hiddenパラメータを含む）をツールや手動で改ざんし、そのレスポンスからWEBアプリケーションの脆弱性を判断します。
作業は、目視での異常検知と負荷調整、充分なインターバルをとり、システムへの影響を考慮して障害発生について最大限に配慮して行います。
また、Webアプリケーションのソースコード診断も可能です。
診断項目はIPA※が示す脆弱性を網羅し、「セッション管理の不備」「クロスサイトスクリプティング」などの26項目を実施します。

※IPA（独立行政法人情報処理推進機構）「安全なウェブサイトの作り方」

このサービスに関するご質問・ご相談・お見積りなど、
お気軽にお問い合わせください。

Webアプリケーション診断の特長

GSXのWebアプリケーション診断は20年の実績を持つ高度な診断サービスです。
診断を実施するエンジニアはセキュリティ資格保持者で、最新・最先端のハッキング技術を有しています。

多様な診断対象への対応、豊富な診断メニュー
- お客様のご要望に応じて、コストメリットの高いプランをご提案します。
- Webアプリケーションだけでなく、スマホネイティブアプリ、クラウドなどの脆弱性診断にも対応。PCクライアントアプリ等の特殊なアプリ、IPv6などへの診断も実施可能です。
- インターネット経由、オンサイト診断、夜間や休日を利用した診断など、診断方法や場所（リモート／オンサイト）もご相談に応じます
診断後の具体策を総合的にご提案
- WebアプリケーションファイアウォールやIDS/IPSといった製品のご提案
- 脆弱性診断の社内実施体制を構築する脆弱性診断ツールの販売・使用トレーニング
- セキュリティ人材の育成・資格取得サービス
- セキュア開発ガイドライン作成
セキュリティ人材の教育サービスはこちら

独立行政法人情報処理推進機構（IPA）「情報セキュリティサービス基準適合サービスリスト」に登録

GSXの脆弱性診断サービスは、経済産業省の定める「情報セキュリティサービス基準」に適合するサービスとして、独立行政法人情報処理推進機構（IPA）の「情報セキュリティサービス基準適合サービスリスト」に登録されています。
※情報セキュリティサービス基準審査登録制度「情報セキュリティサービス台帳」はこちら
※IPA（独立行政法人情報処理推進機構）「情報セキュリティサービス基準適合サービスリスト」はこちら

サービス登録番号：018-0029-20 脆弱性診断サービス（タイガーチームサービス）

サービス登録番号：018-0029-20　タイガーチームサービス

Webアプリケーション診断の実施フロー・プロセス

01｜お見積り・ご発注

診断対象などを選定の後、お見積書を作成します。診断期間や対象などを決定の上、お見積内容に基づき、ご発注いただきます。

02｜事前調整・内容確認書作成

診断内容確認書を作成します。必要に応じて事前の導通確認など細部の確認を行います。スマホアプリ診断の場合、対象ファイルをお預かりします。

03｜診断

ご指定の時間帯で診断作業を行います。基本は、平日日中（10時～18時）です。夜間、休日をご希望の場合は、ご契約前にお申し付けください。

04｜速報

診断中に緊急度の高い脆弱性が発見された場合、速報としてご連絡します。※ご要望の場合のみ。ご契約時にご依頼ください。

05｜結果分析／報告書作成

診断結果を報告書として取りまとめ、納品いたします。※診断終了後10営業日以内

06｜報告会

専門エンジニアが内容を説明する報告会を開催します。

07｜再診断

脆弱性が検出された箇所をお客様側で改修された後、同様の脆弱性が検出されないかを再度診断します。

Webアプリケーション診断のサービスメニュー

Webアプリケーション診断

Webアプリケーション診断では、以下の診断項目を対象とします。

No.	診断項目	危険度	ツール	手動	IPA
1	セッション管理の不備	高		○	✔
2	セッションフィクセーション	中	○	○
3	クロスサイトリクエストフォージェリ	中	○	○	✔
4	クロスサイトスクリプティング	高〜中	○	○	✔
5	クリックジャンキング	中	○	○	✔
6	SQLインジェクション	高	○	○	✔
7	OSコマンドインジェクション	高	○	○	✔
8	ディレクトリトラバーサル	高	○	○	✔
9	SSIインジェクション	高	○	○
10	XMLインジェクション	高	○	○
11	XPathインジェクション	高	○	○
12	XQueryインジェクション	高	○	○
13	LDAPインジェクション	高	○	○
14	MXインジェクション	高		○	✔
15	HTTPレスポンスの分割	高	○	○	✔
16	リモートファイルインクルード	高	○	○
17	通信の暗号化	中	○	○
18	証明書の不備	中		○
19	Referrerによる情報漏洩	中		○
20	ユーザID等の調査	中		○	✔
21	詳細なエラーメッセージ	低	○	○
22	拡張子偽造	高〜低		○
23	コメント・デバッグ情報	高〜低	○	○
24	アプリケーション固有の問題	高〜低		○
25	フォーマットストリング	高〜低	○	○
26	バッファオーバーフロー	高〜中	○	○	✔

スマートフォン向けWebアプリケーション診断

スマートフォンの実機を用い、無線LANルータ及び診断端末を経由し対象に対して診断を実施します。

主な診断項目（一部抜粋）
SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
セッション管理の不備（パラメータ改ざん等）
クロスサイトリクエストフォージェリ（CSRF）
他ユーザーへのなりすまし
セッションフィクセーション
通信の暗号化の不備
証明書の不備　など

診断の実施場所

基本はリモートでの実施となります。ご要望があればオンサイトでの実施にも対応します。

診断の実施可能日

基本は平日日中です。

Webアプリケーション診断の成果物

診断結果は報告書を作成して納品いたします。「問題とその原因」「考えられる被害」「具体的施策」などの項目に沿って結果報告と改善策をご提案します。

報告書（例）

このサービスに関するご質問・ご相談・お見積りなど、
お気軽にお問い合わせください。

Webアプリケーション診断に関連するコラム

お問い合わせはこちら

Webアプリケーション診断

Webアプリケーション特有の主要なリスク