- 株式会社fonfun
サーバーへの不正侵入やWebサイトの改ざんが急増中!
今や誰もがサイバー攻撃のターゲットに
政府機関、自動車メーカー、旅行会社、大学、出版社、ショッピングサイトなど様々な組織、企業がサイバー攻撃の被害にあっています。
個人情報が狙われることはもちろんのこと、個人情報の取り扱いのないサイトでも、サイトを改ざんにより知らないうちにウイルス感染サイトに仕立てあげられる可能性があります。
 |
こうした攻撃は公開されているホームページであれば、 企業の規模に関係なく無差別におこなわれているので注意が必要です! |
Webアプリケーション診断がなぜ必要?
年々増加するサイバー攻撃、企業は必要に応じた対策を施す必要が急務となっています。
攻撃手法も様々なものがあり、次から次へと新しい手法で攻撃が行われているため、サイトに攻撃を受けてしまう問題がないか把握しておく必要があります。
多くのサイトで脆弱性が見つかっています!
診断(※)の結果、
9割のサイトで何かしらの脆弱性が見つかっています。
そのうち深刻な問題のあったサイトはなんと5割に上ります。
fonfunのWebアプリケーション診断
外部、内部の両方から徹底的に診断
WebアプリケーションにはSQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等様々な脆弱性があります。
お客様のWebアプリケーションにセキュリティ上の問題がないか、擬似的な攻撃を行い診断、調査するサービスです。
セキュリティの専門家が手動やツールを利用し、レポートと対策をご提案いたします。
※オンサイト診断はペネトレイションプランのみとなります。
診断内容はプランによって異なります。詳細は診断項目と料金をご確認ください。
最新の攻撃手法を診断パターンに反映
過去の実績や独自で収集したリストから得た最新の攻撃手法や脆弱性情報を反映した診断内容をもとに、経験豊富な専門家が、お客様のWebアプリケーションに合わせて診断を実施いたします。
サービスの特徴
経験豊富な診断エンジニアが対応
多くのサイトを診断してきたエンジニアがお客様のサイトをしっかり診断。
診断前に十分にヒアリングを実施し、 ミスマッチの起きない診断
診断内容を明確にすることを心がけています。
お客様の満足いく診断内容をご提示いたします。
無駄のない診断プランの策定
ヒアリング内容をもとにお客様に最適なプランを策定いたします。
診断前に画面遷移図を作成し、診断範囲をご提示
診断内容を明確にすることを心がけています。
お客様の満足いく診断内容をご提示いたします。
休日、夜間、オンサイトにも対応可能
通常はリモートにて対象サイトへの診断実施を行いますが、指定場所にご訪問しての診断やお客様のご都合に合わせた日時での診断が可能です。
5段階で対象サイトを評価し、適切なレポートを提出
検出された脆弱性に対して、実際に不正アク セスを模擬して攻撃を行った際の状況、技術的観点からその問題点の指摘や対策方法までを詳細に解説して、開発者にも直ぐに理解できるようなレポートを作成いたします。
サービスの流れ
診断後の対策も行っております。必要な場合は担当者にお申し付けください。
診断レポート提出時に内容についてもお打合せさせて頂きます。
診断項目
| 診断項目 | 典型的な脆弱性 | 診断内容 | 定期 診断プラン |
簡易 診断プラン |
ツール 診断プラン |
ペネトレイション プラン |
|---|---|---|---|---|---|---|
| ユーザ認証に関する項目 | ||||||
| 脆弱なパスワードの存在 | 認証を迂回して不正にサービスを利用したり、他人になりすましてアプリケーションを利用したりすることができないか調査を行います。 | △※1 | △※1 | ○ | ||
| 認証設定の不備 | ○ | ○ | ||||
| パスワードリマインダの不備 | ○ | |||||
| HTTPSの設定不備 | △※2 | ○ | ||||
| SSL証明書の妥当性検証 | △※3 | ○ | ||||
| コンテンツアクセス承認に関わる項目 | ||||||
| 推測可能なセッションID | アクセス制御機構を回避して、アクセス許可がないコンテンツにアクセスできないか調査を行います。 | ○ | ||||
| アクセス制御機構の不備 | ○ | ○ | ||||
| セッション終了処理の不備 | ○ | ○ | ○ | |||
| セッションフィクセイション | ○ | |||||
| クライアントを対象とした攻撃に 関する項目 | ||||||
| クロスサイトスクリプティング(XSS) | アプリケーション利用者のブラウザを攻撃することで、任意のスクリプトの実行やコンテンツの詐称ができないか調査します。 | ○ | ○ | ○ | ||
| コンテンツ詐称 | ○ | |||||
| HTTPレスポンススプリッティング | ○ | ○ | ○ | |||
| コマンド実行に関する項目 | ||||||
| バッファオーバーフロー | アプリケーションに不正な入力を行い、アプリケーションの誤動作を引き起こせるか調査します | ○ | ○ | ○ | ||
| LDAPインジェクション | ○ | ○ | ○ | |||
| OSコマンド実行 | ○ | ○ | ○ | |||
| SQLインジェクション | ○ | ○ | ○ | |||
| SSIインジェクション | ○ | ○ | ○ | |||
| Xpathインジェクション | ○ | ○ | ○ | |||
| 情報取得に関する項目 | ||||||
| ディレクトリ内容表示 | サーバの設定の不備等を利用して、内部情報漏洩の可能性があるか調査します。 | ○ | ○ | ○ | ○ | |
| ディレクトリトラバーサル | ○ | ○ | ○ | ○ | ||
| 強制ブラウジング | ○ | ○ | ○ | ○ | ||
| HTMLソース内のコメント検証 | ○ | |||||
| 各種情報漏洩 | ▲※4 | ▲※4 | ○ | |||
| アプリケーションの機能の悪用に関する項目 | ||||||
| 機能の悪用 | サーバの設定の不備等を利用して、内部情報漏洩の可能性があるか調査します。 | ○ | ○ | ○ | ||
| サービス妨害 | △※5 | ○ | ||||
| 自動アクセス防止の不備 | ○ | |||||
| 迷惑メールの送信 | ○ | |||||
| クロスサイトリクエストフォージェリ(CSRF) | ○※6 | ○※6 | ○ |
△※1 利用するリストにより精度は異なるが、推測可能な脆弱なパスワードの存在の検証は一応に実施する ex.123456等
△※2 http/httpsアクセスにおけるsessionの有効性の有無等を検証する程度なので×に近い△
△※3 中間証明書の設定不備なども経路や設定の分析に利用するがほぼ手動確認項目のためツールにおいては利用せず
▲※4 レスポンスヘッダベースの情報のため×に近い▲
△※5 DOSの実施は確認程度の実施しかしないため×に近い△
○※6 CSRFトークンの利用をベースに診断しているためペネトレイションのCSRF診断よりは精度が劣る
△※2 http/httpsアクセスにおけるsessionの有効性の有無等を検証する程度なので×に近い△
△※3 中間証明書の設定不備なども経路や設定の分析に利用するがほぼ手動確認項目のためツールにおいては利用せず
▲※4 レスポンスヘッダベースの情報のため×に近い▲
△※5 DOSの実施は確認程度の実施しかしないため×に近い△
○※6 CSRFトークンの利用をベースに診断しているためペネトレイションのCSRF診断よりは精度が劣る
料金
| 定期診断プラン |
簡易診断プラン | ツール診断プラン | ペネトレイションプラン | |
|---|---|---|---|---|
| 診断手法 | ツールによる診断 ※毎月1回定期的に診断をおこないます。 |
ツールによる診断 | ツールによる診断 (一部手動による診断) |
手作業診断 |
| 診断手法 | リモート | リモート | リモート | リモート |
| 診断対象 | 対象サイトの1画面~対応 | 対象サイトの5~10画面程度 | 対象サイトの全動的画面 | 特定した動的画面 |
| 遷移図作成 | ○ | ─ | ○ | ○ |
| 価格 | 初期費用: 149,800円 ●1~50画面 14,800円/月 ●51~100画面 34,800円/月 ●101~200画面 59,800円/月 ●201画面~ 相談 |
60,000円 | 600,000円/1URL (1URL=約30遷移) |
60,000円/1遷移~ |
| 再診断価格 | ─ | ツール診断へ | 別途お見積り | 別途お見積り |
| 報告会 | ─ | ─ | 100,000円/回 | 100,000円/回 |
セキュリティ対策を検討中のお客様
fonfunでは様々なWebセキュリティ対策サービスをご用意しています。
「セキュリティ対策ってなにから手を付ければいいの?」
「限られた予算内でどこまでできる?」など
セキュリティ対策についてなにかお困りがありましたら、まずはぜひ一度、ご相談ください。
ご不明な点、お見積もり依頼などお気軽にご連絡ください。
