ウェブアプリケーションのセキュリティ診断

ウェブサイトに潜むセキュリティ上の問題を発見し、調査レポートを作成いたします。



診断サービスの特徴

  • 検査ツールを利用した 4300パターンを超える脆弱性を網羅的に検査
  • アプリケーション開発とセキュリティ診断の両面において、経験豊富な実績を有する分析者による診断とレポートの提出
  • OWASP Testing Guide や LASDEC による診断基準に準拠する標準的な検査手法を取り入れた検査





診断サービスの内容


概要
検査対象のウェブサイトに対して、インターネット経由による擬似的な攻撃を行うことにより、対象サイトの弱点(脆弱性)を検出し、報告するサービスです。
診断は、【step1:ツール系での診断】と【step2:アナリストによる手動での診断】の両方を行い、診断結果からウェブアプリケーションの安全性を総合的に評価した報告書を作成します。

診断方法
BLS ウェブサイトセキュリティ診断では、業界トップクラスの商用の脆弱性検査ツールをはじめ、実績のある各種検証ツールを利用して、脆弱性を洗い出します。
脆弱性はウェブアプリケーションの作りによって、特定の検査パターンだけでは、検出できない場合も考えられますが、複数の検査パターンや、複数のツールを用いることによって、より高精度な検出率を確保した診断サービスとなっています。
[BLS ウェブサイトセキュリティ診断で利用するツールは以下の通りです。]
・WebInspect/Paros/WebScarab/XssMe/SSL Digger/Nikto/Burp suiteほか



手動診断
手動診断では、主に WebScarab 等の Proxy 系のツールや Fuzzing と呼ばれる手法 を利用して分析を行います。一般的なウェブアプリケーションにおいて、ツールで発見できる脆弱性は全体の30% 程度だと言われているため手動診断により脆弱性を発見できるかは、診断結果を大きく左右します。
手動診断で必要なスキルは、ウェブアプリケーションの開発経験と脆弱性に対する正しい理解と経験によるところが大きいと考えられており、BLS ウェブサイトセキュリティ診断では、ウェブアプリケーションの開発経験とウェブアプリケーションのセキュリティ診断の両方に十分な経験を有するアナリストによって、診断が実施されます。



トレーニング

BLS ウェブサイトセキュリティ診断は、専門的なトレーニングを十分に積んだ担当者により実施されます。ウェブアプリケーションのセキュリティについては、米国が一歩進んでいると考えられますが、その米国の大手セキュリティ教育企業が実施するトレーニングSANS 提供のウェブアプリケーション専門のセキュリティ研修他に加え、や情報セキュリティ管理の国際標準である ISMS(ISO27001) のトレーニングなどを積んだ担当者により診断が実施されます。



診断実績

BLS ウェブサイトセキュリティ診断では、過去に某国立研究所情報セキュリティ診断や、大手食品会社、大手家電メーカー、大手放送局、大手ソフトウェアベンダ、大手保険代理店、など年間20件以上のセキュリティ診断を行ってきた実績があります。
数多くの診断を行うことにより、一般的なサイトにありがちな問題を的確に指摘することが可能となります。



報告について

診断レポートは主に2種類で、稼働環境の場合は、診断時または終了時に重大な脆弱性を発見した場合は速報として、担当者にご連絡します。
その他の脆弱性については、検査終了後概ね1週間後(診断規模に応じて)報告書を提出します。



診断項目

ウェブアプリケーションの診断項目は、IPA セキュリティセンター発行の「安全なウェブサイトの作り方」で公表されている一般的な脆弱性およびLASDEC 「ウェブ健康診断仕様」、PCI DSS の診断項目の一部、を含む以下の脆弱性を対象と該当を検査します。

  • SQL インジェクション
  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ
  • OSコマンドインジェクション
  • ディレクトリリスティング
  • ヘッダインジェクション
  • ディレクトリトラバーサル
  • セッション管理の不備
  • アクセス制御の不備
  • SSL の不備
  • 認証の不備ほか