SPIRAL ソリューションサービス
エシカルハック
解決できる課題
SPIRAL® でのアプリケーション開発におけるこんなお悩みを解決します
-
開発したアプリケーションが
安全かどうかわからず不安 -
セキュリティ基準を満たす
アプリ開発の⽅法が
わからない -
⽇々変化する攻撃への
対策がわからない -
脆弱性診断にかかる
コストが⾼額
サービス内容
エシカルハックは、SPIRAL® で開発したアプリケーションに対して実施する
Webアプリケーション診断(脆弱性診断)です
SPIRAL® を熟知した診断⼠が対応
⼀般的な脆弱性診断サービスでは検出困難な、SPIRAL® の設定に起因する脆弱性についても検出できます。
低コスト・再診断無料(1回まで)
⼿動診断も含め全て当社内で完結した診断のため、他社の約5割〜7割程度のコストで実施できます。また、追加費⽤なしで再診断を1回まで承ります。
充実のアフターフォロー
診断後の報告会は無料で実施。具体的な対策⽅法までフィードバックします。
報告会後に疑問が⽣じた場合も、お問い合わせを承っております。
診断範囲
Webアプリケーション全般(独⾃構築、SPIRAL® 、WordPress)が診断対象となります。
Webアプリケーション診断
プラットフォーム上に開発したアプリケーションに対して診断を実施します。
SPIRAL® の標準機能ではセキュリティを確保するための機能を多数提供していますが、カスタマイズ次第ではセキュリティ上望ましくない設定や不適切な設定となる場合があるため、診断を推奨しています。
プラットフォーム診断
Webアプリケーションよりも上流にあるサーバー構成やインフラを診断対象とし、ネットワークやミドルウェアの設定に起因する脆弱性を検出します。
SPIRAL® 以外に独⾃にサーバーを調達する(AWS/VPS等)場合に実施を推奨しております。(※オプションでの対応となります)
なお、SPIRAL® については当社主導で定期的に実施しておりますが、こちらも実施をご希望の場合はご相談ください。
Webアプリケーション診断
プラットフォーム上に開発した
Webアプリケーション
プラットフォーム診断
プラットフォーム
危険度の基準
発⾒された各脆弱性の「危険度」を5段階で判定します。
| 危険度 | 説明 | 当該脆弱性により懸念される事象例 |
|---|---|---|
| Critical |
「深刻」な指摘事項。 直ちにサービス停⽌、リリース延期、攻撃痕跡の調査を含めた緊急対応が必要であり、1秒でも早く解決すべき問題。 |
|
| High |
「重⼤」な指摘事項。 重⼤な被害が発⽣する危険な状態にあり、リリース延期または1週間以内に解決すべき問題。 |
|
| Medium |
「注意」すべき指摘事項。 被害が発⽣する可能性があり、1ヶ⽉以内に解決すべき問題。 |
|
| Low |
⽐較的「軽微」な指摘事項。 攻撃条件が難しい・影響度が低いものの、半年以内に解決が望まれる問題。 |
|
| Info |
留意すべき「情報」としての指摘事項。 現状ではリスクの顕在化はしていないものの、今後の開発で対応を留意すべき情報。 |
|
- 危険度
- Critical
- High
- Medium
- Low
- Info
- 説明
- 「深刻」な指摘事項。
直ちにサービス停⽌、リリース延期、攻撃痕跡の調査を含めた緊急対応が必要であり、1秒でも早く解決すべき問題。 - 「重⼤」な指摘事項。
重⼤な被害が発⽣する危険な状態にあり、リリース延期または1週間以内に解決すべき問題。 - 「注意」すべき指摘事項。
被害が発⽣する可能性があり、1ヶ⽉以内に解決すべき問題。 - ⽐較的「軽微」な指摘事項。
攻撃条件が難しい・影響度が低いものの、半年以内に解決が望まれる問題。 - 留意すべき「情報」としての指摘事項。
現状ではリスクの顕在化はしていないものの、今後の開発で対応を留意すべき情報。 - 当該脆弱性
により懸念
される事象例 -
- 不特定多数のユーザの個⼈情報が不正取得できてしまう
- ⼤量レコードやWebサイトの改ざんが実⾏できてしまう など
-
- 特定ユーザの個⼈情報が不正取得できてしまう
- レコード情報の改ざんが実⾏できてしまう など
-
- ⼀部のユーザの個⼈情報が漏洩する恐れ
- ⼀部のレコード改ざんや、罠サイトへの誘導を受ける恐れ など
-
- 軽微な情報漏洩が漏洩する可能性
- 攻撃のためのヒントとなる情報が得られる可能性 など
-
- セキュリティ上望まれる、保険的な対策が不⾜している
- 将来的に脆弱性として悪⽤が可能となる可能性がある など
サービス内容を詳しく見る
- サービス内容
-
- 診断報告書の作成
- 想定されるリスクの洗い出しと、対応⽅針の提案
- 発⾒された脆弱性の速報
(CVSS3.1ベースでCritical以上) - 報告会の実施(1回まで)
- 再診断の実施(1回まで無料/指摘項⽬のみ/診断報告書のお渡しから1ヶ⽉以内まで)
- 診断手法
- ⼿動診断 / ⾃動診断
- ⾃動診断ツール
- OWASP ZAP / Burp Suite Professional /sqlmap / WPScan
検証する脆弱性
- ディレクトリ・トラバーサル
- 認証のバイパス
- OSコマンドインジェクション
- CSRF(クロスサイトリクエストフォージェリ)
- XSS(クロスサイトスクリプティング)
- セッションハイジャック
- SQLインジェクション
- HTTPヘッダインジェクション
- アクセス制御の設定ミス
- ウェブ健康診断仕様(安全なウェブサイトの作り⽅別表)に記載されている13項⽬※
診断の流れ
事前調査
お⾒積もり
診断実施
レポート作成
5〜12営業⽇程度
診断結果報告
再診断
限ります。
他サービスとの⽐較
他サービスを圧倒する充実の対応内容で、安⼼安全なアプリケーション開発を⽀援します
| 当社 | A社 | B社 | X社 | G社 | E社 | |
|---|---|---|---|---|---|---|
| 診断⾦額 | 60万円 | 100万円〜 | 80万円〜 | 30万円 | 2万円 | 40万円 |
| 対象ページ | 最⼤50画⾯遷移 | 50リクエスト | 50画⾯遷移上限 | 5動的リクエスト | 1リクエスト | 10リクエスト |
| 診断⼿法 | ⾃動/⼿動 | ⾃動/⼿動 | ⾃動/⼿動 | ⾃動 | ⾃動/⼿動 | ⾃動/⼿動 |
| 診断報告書の作成 | 無料 | 無料 | 無料 | 無料 | 10万円 | – |
| 報告会 | 無料 | オプション | オプション | オプション | 10万円 | 15万円 |
| 再診断 | 1回まで | オプション | 3件まで | オプション | 10万円 | Medium以上 |
| 速報サービス | Critical以上 | – | – | ⾼危険度のみ | ⾼危険度のみ | – |
| お問い合わせ対応 | 1回まで無料 | – | – | – | – | – |
| 診断結果 | 対象ページ | 診断⼿法 | 診断報告書の作成 | 報告会 | 再診断 | 速報サービス | お問い合わせ対応 | |
|---|---|---|---|---|---|---|---|---|
| 当社 | 60万円 | 最⼤50画⾯遷移 | ⾃動/⼿動 | 無料 | 無料 | 1回まで | Critical以上 | 1回まで無料 |
| A社 | 100万円〜 | 50リクエスト | ⾃動/⼿動 | 無料 | オプション | オプション | – | – |
| B社 | 80万円〜 | 50画⾯遷移上限 | ⾃動/⼿動 | 無料 | オプション | 3件まで | – | – |
| X社 | 30万円 | 5動的リクエスト | ⾃動 | 無料 | オプション | オプション | ⾼危険度のみ | – |
| G社 | 2万円 | 1リクエスト | ⾃動/⼿動 | 10万円 | 10万円 | 10万円 | ⾼危険度のみ | – |
| E社 | 40万円 | 10リクエスト | ⾃動/⼿動 | – | 15万円 | Medium以上 | – | – |
よくある質問
Qエシカルハックサービスだけ利⽤したいのですが可能ですか?
はい、エシカルハックサービス単体でもサービスを提供しております。SPIRAL® で開発したアプリ以外にもWordPressサイトの診断プラン等もご⽤意しております。
Q事前にエシカルハックの診断報告書のサンプルを見ることはできますか?
はい、サンプルをご用意しております。お問い合わせフォームからご連絡ください。
- まずはお問い合わせください!
-
SPIRAL® での開発・保守・運用におけるあらゆる課題を解決いたします。
まずはお気軽にご相談ください。
