セキュリティ診断サービス

選べる4つのWebアプリケーション診断

GMOサイバーセキュリティ byイエラエの「Webアプリケーション診断」では
ホワイトハッカーによる手動診断を通じてクロスサイトスクリプティングや
SQLインジェクションなどWebアプリケーションに潜む脆弱性を網羅的に診断します。

世界トップレベルのホワイトハッカーの知識と技術を用いて
診断ツールでは発見できないビジネスロジック上の問題や
認証認可に関する脆弱性など仕様や設計に関する問題も洗い出します。

■診断ツールでは発見できない前提条件が必要な機能例
・商品の在庫がないと、注文できない
・自社のサイトから発生した通信でないと、通信を許可しない
・メールに送信した値を画面に入力する必要がある　　など

はじめて診断をするお客様や、高度な診断を必要とするお客様まで
診断が必要な背景やご予算に応じて貴社にぴったりの診断をご提案いたします。

●最新の脆弱性からよくある脆弱性までを幅広く診断
診断ツールと診断員の手動診断を組み合わせた、網羅性のある診断を行います。
診断ツールの効率性を活かしながらも、誤った検知や識別できない脆弱性を、
診断員の目によってチェックしていき、漏れがないよう、丁寧に脆弱性を洗い出します。

●経験豊富なセキュリティ診断員による診断
Webアプリケーションの特質に合わせた柔軟な診断を行います。
一般的に脆弱性診断が難しいとされているモダンなプロトコル、例えばリアルタイムチャットや、
ゲームで使用されるWebSocket・gRPC・GraphQLだけではなく、FirebaseやSalesforceなどの、
クラウドで使用されるプロトコルにも対応しております。(実施には条件がありますのでご相談ください)

●緊急性の高い脆弱性が発見された場合は速報を送信
緊急対応が必要な危険度の高い脆弱性については、
発見から翌営業日以内に、再現方法と対策を記載した速報をお送りいたします。

●詳細でわかりやすい報告書を提出
診断結果・診断対象の概要・脆弱性の詳細な解説・再現方法および対策の方法などを、
Webアプリケーションの特質に応じて詳細に解説いたします。

●無料自動診断で継続的に対策状況をチェック
診断後は自社開発したセキュリティ診断ツール
「GMOサイバー攻撃ネットde診断」の無償提供を通じて
継続して対策状況を確認します。

【1】Webアプリケーション診断 事前準備
◆診断要件をヒアリング
仕様書や担当者様へのヒアリング、実際のアプリケーションへのアクセスによりシステム構成を把握し、診断対象となるリクエスト数を算出します。

◆対象合意と御見積
手動によるクローリングにて対象一覧を作成し、診断対象候補を列挙していきます。
選定された結果に合わせて御見積書を作成いたします。

【2】診断実施
◆ツールでの脆弱性診断
診断対象への網羅的な診断を行い、設定不備やセキュリティ対策漏れによるWebアプリケーションの脆弱性を検出いたします。

◆手動による脆弱性診断
認証認可やビジネスロジックの不備など、高いリスクによりツールでは検出できない診断項目を、
攻撃者の観点から手動で確認いたします。

【3】診断報告のレポート提出
◆総合評価
診断結果の概要とWebアプリケーションに脆弱性が存在していた場合は、影響範囲についてご報告いたします。
さらに、事業運営の観点から推奨される施策などについてもご提案させていただきます。

◆脆弱性の詳細
発見した脆弱性の詳細や再現手順等をご報告いたします。
それらによるリスクや推奨する対策方法についても、ご説明させていただきます。