1. TOP
  2. サービス
  3. エシカルハック(脆弱性診断サービス)
Ethical Hack

エシカルハック
(脆弱性診断サービス)

プロの診断⼠がチェックする脆弱性診断
  1. TOP
  2. サービス
  3. エシカルハック(脆弱性診断サービス)

エシカルハック
(脆弱性診断サービス)

「エシカルハック(脆弱性診断サービス)」とは、ローコード開発プラットフォーム「SPIRAL®」
で作成したアプリケーションを中心に、Webアプリケーションの脆弱性を診断するサービスです。
「SPIRAL®」以外のWebアプリケーション全般(独⾃構築、SPIRAL®、WordPress等)も診断可能です。

解決できる課題

アプリケーション開発におけるこんなお悩みを解決します。

  • 開発したアプリケーションが
    安全かどうかわからず不安
  • セキュリティ基準を満たす
    アプリ開発の⽅法が
    わからない
  • ⽇々変化する攻撃への
    対策がわからない
  • 脆弱性診断にかかる
    コストが⾼額

診断範囲

Webアプリケーション診断

プラットフォーム上に開発したアプリケーションに対して診断を実施します。
SPIRAL® の標準機能ではセキュリティを確保するための機能を多数提供していますが、カスタマイズ次第ではセキュリティ上望ましくない設定や不適切な設定となる場合があるため、診断を推奨しています。

プラットフォーム診断

Webアプリケーションよりも上流にあるサーバー構成やインフラを診断対象とし、ネットワークやミドルウェアの設定に起因する脆弱性を検出します。
SPIRAL®以外に独⾃にサーバーを調達する(AWS/VPS等)場合に実施を推奨しております。(※オプションでの対応となります)
なお、SPIRAL®については当社主導で定期的に実施しておりますが、こちらも実施をご希望の場合はご相談ください。

Webアプリケーション診断

プラットフォーム上に開発した
Webアプリケーション

プラットフォーム診断

SPIRAL®、その他サーバなどの
プラットフォーム

サービス内容

サービス内容を詳しく見る
サービス内容詳細
  • 診断報告書の作成
  • 想定されるリスクの洗い出しと、対応⽅針の提案
  • 発⾒された脆弱性の速報
    (CVSS3.1ベースでCritical以上)
  • 報告会の実施(1回 最大2時間まで)
  • 再診断の実施(1回まで無料/指摘項⽬のみ/診断報告書のお渡しから3ヶ⽉以内まで)
  • お問い合わせ対応(1回 メール対応 診断結果報告から半年以内)
診断手法
⼿動診断 / ⾃動診断
⾃動診断ツール
アプリ診断:ZAP / Burp Suite Professional /sqlmap / WPScan
プラットフォーム診断:Greenbone OpenVAS / Qualys SSL Labs / sslscan / Nmap / Zenmap

検証する脆弱性

  • ディレクトリ・トラバーサル
  • 認証のバイパス
  • OSコマンドインジェクション
  • CSRF(クロスサイトリクエストフォージェリ)
  • XSS(クロスサイトスクリプティング)
  • セッションハイジャック
  • SQLインジェクション
  • HTTPヘッダインジェクション
  • アクセス制御/認可制御の不備
  • ウェブ健康診断仕様(安全なウェブサイトの作り⽅別表)に記載されている13項⽬
「ウェブ健康診断仕様(安全なウェブサイトの作り⽅別表)」の2.1.診断対象脆弱性(診断項⽬)及びその選定理由を参照

危険度の基準

発⾒された各脆弱性の「危険度」を5段階で判定します。
各指標は、共通脆弱性評価システム(CVSS3.1)の基本評価基準に基づいています。

危険度 説明 当該脆弱性により懸念される事象例
Critical 「深刻」な指摘事項。
直ちにサービス停⽌、リリース延期、攻撃痕跡の調査を含めた緊急対応が必要であり、1秒でも早く解決すべき問題。
  • 不特定多数のユーザの個⼈情報が不正取得できてしまう
  • ⼤量レコードやWebサイトの改ざんが実⾏できてしまう
    など
High 「重⼤」な指摘事項。
重⼤な被害が発⽣する危険な状態にあり、リリース延期または1週間以内に解決すべき問題。
  • 特定ユーザの個⼈情報が不正取得できてしまう
  • レコード情報の改ざんが実⾏できてしまう など
Medium 「注意」すべき指摘事項。
被害が発⽣する可能性があり、1ヶ⽉以内に解決すべき問題。
  • ⼀部のユーザの個⼈情報が漏洩する恐れ
  • ⼀部のレコード改ざんや、罠サイトへの誘導を受ける恐れ など
Low ⽐較的「軽微」な指摘事項。
攻撃条件が難しい・影響度が低いものの、半年以内に解決が望まれる問題。
  • 軽微な情報が漏洩する可能性
  • 攻撃のためのヒントとなる情報が得られる可能性 など
Info 留意すべき「情報」としての指摘事項。
現状ではリスクの顕在化はしていないものの、今後の開発で対応を留意すべき情報。
  • セキュリティ上望まれる、保険的な対策が不⾜している
  • 将来的に脆弱性として悪⽤が可能となる可能性がある
    など
危険度
Critical
High
Medium
Low
Info
説明
「深刻」な指摘事項。
直ちにサービス停⽌、リリース延期、攻撃痕跡の調査を含めた緊急対応が必要であり、1秒でも早く解決すべき問題。
「重⼤」な指摘事項。
重⼤な被害が発⽣する危険な状態にあり、リリース延期または1週間以内に解決すべき問題。
「注意」すべき指摘事項。
被害が発⽣する可能性があり、1ヶ⽉以内に解決すべき問題。
⽐較的「軽微」な指摘事項。
攻撃条件が難しい・影響度が低いものの、半年以内に解決が望まれる問題。
留意すべき「情報」としての指摘事項。
現状ではリスクの顕在化はしていないものの、今後の開発で対応を留意すべき情報。
当該脆弱性
により懸念
される事象例
  • 不特定多数のユーザの個⼈情報が不正取得できてしまう
  • ⼤量レコードやWebサイトの改ざんが実⾏できてしまう など
  • 特定ユーザの個⼈情報が不正取得できてしまう
  • レコード情報の改ざんが実⾏できてしまう など
  • ⼀部のユーザの個⼈情報が漏洩する恐れ
  • ⼀部のレコード改ざんや、罠サイトへの誘導を受ける恐れ など
  • 軽微な情報漏洩が漏洩する可能性
  • 攻撃のためのヒントとなる情報が得られる可能性 など
  • セキュリティ上望まれる、保険的な対策が不⾜している
  • 将来的に脆弱性として悪⽤が可能となる可能性がある など

診断の流れ

01

ヒアリング
お⾒積もり

診断対象となるアプリケーションの仕様を確認し、診断内容をもとにお⾒積書を提⽰いたします。
02

診断実施

当社にて手動・ツールでの診断を実施いたします。危険度「Critical」にあたる脆弱性は速報でお知らせいたします。
03

レポート作成

診断結果を元に診断報告書を作成いたします。

5〜12営業⽇程度

𝟧𝟣𝟤営業⽇程度
04

診断結果報告

診断結果をお伝えする報告会を実施いたします。確認した脆弱性と併せて改善策を提案いたします。
05

再診断

指摘事項に対する再診断を⾏います。
※診断報告書のお渡しから3ヶ月以内に
限ります。

よくある質問

QSPIRAL® 以外で構築したアプリケーションに対してエシカルハックを利⽤したいのですが可能ですか?
A

はい、SPIRAL® で開発したアプリ以外にもWordPressサイトの診断プランやスマートフォン向けのプラン等もご⽤意しております。

Q事前にエシカルハックの診断報告書のサンプルを見ることはできますか?
A

はい、サンプルをご用意しております。お問い合わせフォームからご連絡ください。

まずはお問い合わせください!

セキュリティにおける課題を解決いたします。

まずはお気軽にご相談ください。

ご相談・お問い合わせはこちら
to top

© SPIRAL AIGIS Inc. All Rights Reserved.