webシステムセキュリティ脆弱性診断

2020.04.27

Contents

webシステムセキュリティ脆弱性診断
サブスク型で契約期間中何度も利用可能

SQLインジェクションなど開発時からしっかりチェック

webの運用でより安心安全を心がけるセキュリティ診断

webシステムのセキュリティ脆弱性診断

webサービスは急増していますが、同時に、セキュリティの甘いサービスも増えているのではないかと思われます。というのも、見た目やUI、UX、集客に意識があつまるあまり、結果的に、セキュリティ対策における予算投下がされていないことが多いからです。特に、ITに強くない企業や団体が提供するサービスには、そういったセキュリティへの配慮がなく設計されて、webシステムなどが発生したりします。これでは、いくらデータをためていっても、リスクがどんどん大きくなる一方です。
ただ、セキュリティに対する予算は、そこまでかけられないというケースも実際にございます。そこで、クライアントさまのお悩みに沿ってのご提案として、クロトでは、webシステムのセキュリティ脆弱性診断ツールのご提案をさせていただいております。

webシステムといっても、今回ご提案するセキュリティ脆弱性診断ツールでは、以下のものが脆弱性診断可能です。１）イントラ内や開発PC上のシステム、２）REST APIサーバなど、３）フォーム認証（ログイン画面）を含むwebシステム、４）複数のFQDNをまたぐwebシステムでも対応が可能です。

脆弱性診断の方法としては、Dynamic Security Application Testing(DAST)を使用します。お客様にてご用意されているSTG環境、開発環境のWebサーバに対してHTTPリクエストを実際に送信して、受け取ったレスポンスデータを検証していきます。これを元に、セキュリティ脆弱性の有無を判断します。それゆえ、サーバのOSやミドルウェア、開発言語に関わらず検査は可能です。

主な検査項目は、SQLインジェクション、クロスサイトスクリプティング（XSS）、リモートファイルインクルージョン、コマンドインジェクション、ディレクトリトラバーサル、ブラインドSQLインジェクション、安全でないデシリアライゼーション、XML外部実体攻撃（XXE）、httpヘッダインジェクションになります。検査項目はご予算によって変動します。

通常、セキュリティ脆弱性診断は、１回いくらですが、今回ご提案するセキュリティ脆弱性診断なら、契約に応じて、何度も利用が可能です。サブスク型なんです。それゆえ、きちんとクリアされているかどうかのチェックを何度も利用ができ、すばやく、セキュリティ脆弱性のステータスを解消できるわけです。これはうれしいですよね。プロジェクト担当者も、開発者も。

webのセキュリティチェックは、開発会社がやってくれているよ。とお思いかもしれませんが、しっかりと、お見積もりを見てください。セキュリティの脆弱性診断などのテストをする、という契約になっていますか？実施されていないテストなどありませんでしょうか？また、webサイトの運用で、新しいシステムを追加したいときなども、セキュリティの脆弱性のチェックをされていますか？そして、そのシステム開発会社、信頼できますか？1つずつ、具体的に、考えていくと、セキュリティって怖くなりませんか。クロトでは、そういった部分の見える化をお手伝いしていきたいと思っております。もちろん、webシステムのセキュリティ脆弱性診断だけではなく、それにあわせたプログラムソースの修正、改善なども対応可能です。お見積もりやご相談は無料です。お気軽にお問い合わせください。

webシステムのセキュリティ脆弱性診断対象検査概要

１、SQLインジェクション
２、クロスサイトスクリプティング（XSS）
３、リモートファイルインクルージョン
４、コマンドインジェクション
５、ディレクトリトラバーサル
６、ブラインドSQLインジェクション
７、XML外部実体攻撃（XXE）
８、httpヘッダインジェクション
など（ご予算により検査項目は変動）

【その他】
・イントラ、開発PC、クラウドサーバ、専用サーバでもセキュリティ脆弱性診断は可能
また、常時SSLの導入なども対応可能。
追加機能もお気軽にご相談ください。

※決済機能や決済システムの開発、導入も可能。決済代行会社のご提案も可能
※awsなどクラウドサーバの導入、セキュリティを高めるwafの導入もご提案可能
※コンテンツマーケティングのオウンドメディア制作で検索からの誘導強化も
※wordpressのカスタマイズ開発も可能
※検証環境、テスト環境構築なども構築できますのであわせてご相談ください
※デジタル庁デザインシステムを活用することで、UIUXの向上も見込めます！