ネットエージェントでは、『快適でセキュアな企業ネットワーク環境』を手軽に実現する様々な各種アプライアンス・ソフトウェア製品を自社開発しております。

  • サイトマップ
  • English

ホームページ・Webアプリケーション診断

サイバー攻撃を未然に防ぐ!Webアプリケーション調査

Webアプリケーション診断

「ホームページ・Webアプリケーション診断」は、攻撃者の視点から様々な疑似攻撃を考察・試行することで、 Webアプリケーションの安全性を徹底的に調査する診断サービスです。

ホームページ・Webアプリケーション診断の結果に基づきセキュリティ対策を施すことで、SQLインジェクション、クロスサイトスクリプティング、 セッションハイジャックなどのサイバー攻撃による被害を未然に防ぐことができます。

ホームページ・Webアプリケーション診断では、専門家による手動診断を中心としつつ、お客様のご要望に応じて、独自に開発した診断ツールと 手動を組み合わせた診断を実施しております。

ホームページ・Webアプリケーション診断の4つの特長

1.最新の攻撃手法まで反映済!

24時間365日リアルタイムでセキュリティ監視を行う「JSOC」、最新の脅威や動向を研究する機関である「サイバー・グリッド研究所」、セキュリティ事故の緊急対応を行う「サイバー救急センター」から得た最新の攻撃手法 や脆弱性情報を反映し、診断を実施します。

2.豊富な導入実績

セキュリティ診断サービスについては約6,950団体(※)の豊富な導入実績があります。蓄積された過去の膨大な診断結果は統計データ化しており、お客様の診断結果を評価・分析する際に活用しています。 ※2015年3月現在累計

3.各種セキュリティ指標に対応

クレジットカード業界のセキュリティ標準であるPCI-DSSで参照されている「OWASP Top 10」や、情報処理推進機構の「セキュリティ実装チェックリスト」に含まれる脆弱性を診断対象とするなど、各種セキュリティ指標にも対応しています。

4.質の高い効率的な診断の提供

セキュリティ診断の品質高めるためには、お客様固有の仕様や特性等を加味しながら柔軟に対応する必要があり、その結果診断に多くの時間を要することがあります。そのため診断の品質を保ちながら結果をいち早くお客様にお届けできるよう、独自の診断ツールを開発など、日々診断業務の効率化に努めています。

診断実施内容

【 診断対象 】
  • ・ショッピングサイト
  • ・会員制サイト
  • ・検索機能を有するサイト
  • ・お申込み、アンケート受付サイト
  • ・スマートフォン、モバイル向けサイト
  • ・SOAPを使ったWebサービス

※上記は一例ですので、対象サイトについてはお気軽にご相談ください。

【 サービス内容 】

クロスサイトスクリプティング診断

不正なスクリプト文字列やHTMLタグなどを送信した際、入力文字が適切に処理されているかチェックします

SQLインジェクション診断

Webアプリケーションを通じて、データベースから情報を抜き出せないかチェックします

セッション管理診断

権限が適切に管理されているかチェックします

認証診断

認証機能に不備がないかチェックします

ファイル拡張子診断

不正なファイル操作が行われないかチェックします

OSコマンドインジェクション診断

不正なコマンドを実行できないかチェックします

ディレクトリトラバーサル診断

ディレクトリをさかのぼり、本来閲覧不可能なファイルにアクセスできないかチェックします

権限昇格診断

ユーザ権限から管理者権限などへの不正な昇格が可能かチェックします

パラメータ書き換え診断

任意のパラメータなどを追加し、問題が発生しないかチェックします

Webアプリケーション固有の問題についての診断

その他、システム障害や利用者に影響のある問題がないかチェックします

【 診断の流れ 】

【 診断結果報告書イメージ 】

診断報告書には、診断結果の総評、評価ランク(5段階)をはじめ、診断結果の詳細・発見された脆弱性およびその確認方法・セキュリティリスクレベル(緊急度)・推奨する対策などを記載し、お客様が改善実施すべき事項を明確にご提示いたします。 また、業種別の統計情報も掲載しますので、同業他社に比べて自社がどの程度のレベルなのかということなども知ることができます。

その他の情報漏えい対策

弊社では万一『 情報漏えい 』が起きてしまった時のための対策製品もご用意しております。


情報漏えい対策製品 PacketBlackHole

社内で発生した通信を全て取得・解析するアプライアンス製品です。
PacketBlackHoleで通信を取得しておくことで、万一サイバー攻撃に遭った際の原因や漏えいした情報の特定にご活用頂けます。

暗号化通信可視化製品 Counter SSL Proxy

本来は暗号化されて見る事の出来ないHTTPS通信の内容を解読し、通信内容を記録・解析できるようにします。
HTTPS通信は、個人情報などの重要な情報のやり取りの他、サイバー攻撃を隠ぺいするために悪用されることもある
ため、通常の通信とあわせて通信内容を取得・解析できるようにしておくことが重要とされています。