脆弱性診断サービス Powered by イエラエセキュリティ
脆弱性診断サービス Powered by イエラエセキュリティは、セキュリティ診断のプロフェッショナルカンパニーである株式会社イエラエセキュリティのセキュリティエンジニアが、お客様のアプリケーションやシステムの脆弱性診断を実施するサービスです。
ニフクラ上に構築されたお客様のアプリケーションやシステム、ネットワークの脆弱性診断が可能です。
以下のようなお客様のご利用に最適です。定期的な脆弱性診断の実施を推奨いたします。
- アプリケーションやシステムの新規リリースや大規模改修を予定しているお客様
- 公開前テストの工数を削減したいお客様
- インターネットへ公開するシステムをお持ちのすべてのお客様
診断フロー
お申し込み受付後、株式会社イエラエセキュリティの貴社担当エンジニアが直接ご連絡の上対応いたします。
特長
Webアプリケーション診断
SQLインジェクションやOSコマンドインジェクションなどの基本的な診断項目に加え、Webサービスの特性や使用されているアーキテクチャに合わせた脆弱性診断を行います。攻撃者と同じ視点を持ったセキュリティエンジニアが疑似攻撃を行うことによって、Webアプリに潜む脆弱性の有無を診断します。
ネットワーク診断
診断対象ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。攻撃者の視点で実際に通信を行うブラックボックステスト方式の脆弱性診断サービスです。過負荷や診断による障害発生を避けることについても最大限配慮して診断作業を実施します。
ペネトレーションテスト
ペネトレーションテスト(侵入テスト)は、実際のハッカーによる攻撃を想定してセキュリティエンジニアがネットワークやシステムを診断します。
仕様
Webアプリケーション診断項目
| 入出力処理 | クロスサイトスクリプティング |
|---|---|
| SQLインジェクション | |
| コマンドインジェクション | |
| ディレクトリトラバーサル | |
| ファイルアップロード | |
| HTTPヘッダインジェクション | |
| フィッシング詐欺サイトへの誘導 | |
| パラメータ改ざん | |
| メールの第三者中継 | |
| 認証 | ログインフォームに関する調査 |
| ログインエラーメッセージの調査 | |
| ログイン・個人情報の送受信に関する調査 | |
| アカウントロック機能 | |
| ログアウト機能 | |
| 認証の回避 | |
| 認可 | 権限昇格 |
| 権限のない情報へのアクセス | |
| セッション管理 | Cookieのsecure属性 |
| Cookieの有効期限 | |
| セッション固定 | |
| セッションの強制指定 | |
| クロスサイトリクエストフォージェリ | |
| Webサーバー設定 | 許可されているHTTPメソッド |
| サーバエラーメッセージ | |
| システム情報の開示 | |
| Web 2.0 | Flashコンテンツの脆弱性 |
| Ajaxコンテンツの脆弱性 | |
| 一般的な脆弱性 | 既知のソフトウェア脆弱性 |
| 強制ブラウジング | |
| ディレクトリリスティング |
ネットワーク診断/ペネトレーションテスト 診断項目
| ネットワーク診断 | ペネトレーションテスト | ||
|---|---|---|---|
| ホストのスキャン | ポートスキャン | ○ | ○ |
| 実行中のサービスの検出 | ○ | ○ | |
| ネットワークサービスの脆弱性 | DNSに関する調査 | ○ | ○ |
| メールサーバーに関する調査 | ○ | ○ | |
| FTPに関する調査 | ○ | ○ | |
| Windowsネットワークサービスに関する調査 | ○ | ○ | |
| SNMPに関する調査 | ○ | ○ | |
| SSHサーバに関する調査 | ○ | ○ | |
| データベースサーバーに関する調査 | ○ | ○ | |
| Webサーバーの脆弱性 | Webサーバーの脆弱性 | ○ | ○ |
| 各種OSの脆弱性 | Windowsの既知の脆弱性 | ○ | ○ |
| その他各種OSの既知の脆弱性 | ○ | ○ | |
| 悪意あるソフトウェア | バックドアの調査 | ○ | ○ |
| P2Pソフトウェアの調査 | ○ | ○ | |
| ネットワーク機器の脆弱性 | 各種ネットワーク機器の既知の脆弱性 | ○ | ○ |
| 認証サービスへの攻撃 | 認証サービスの検出 | ○ | ○ |
| 辞書攻撃/Joeアカウント検出 | ○ | ○ | |
| パスワード類推/総当たり攻撃 | ○ | ||
| オフラインパスワードクラック | ○ | ||
| 認証回避 | ○ | ||
| 権限昇格 | ○ | ||
| ファイル共有サービスへの攻撃 | 機密情報の取得 | ○ | |
| ネットワークへの攻撃 | 盗聴 | ○ | |
| 中間者攻撃 | ○ | ||
| 検出された脆弱性に対する攻撃 | 実害につながりうる攻撃の実行 | ○ | |
| Webアプリケーションへの攻撃 | ○ | ||
ネットワーク診断/ペネトレーションテスト 診断目的
| ネットワーク診断 | ブラックボックス診断 | 対象ホストで稼働するネットワークサービスの脆弱性を列挙することで、現状のセキュリティレベルを把握します。 |
|---|---|---|
| ペネトレーションテスト | シナリオ/ゴールベースの診断 | リスクシナリオ(ホストが攻撃者に乗っ取られた、従業員が攻撃を始めた、というようなインシデントの起点)や、ゴール(情報漏洩や特権獲得、サービス停止などの組織にとって避けたい被害)をあらかじめ定義して、診断を実施します。 これにより、被害に至るリスクと発生しうる被害を把握します。診断項目は、シナリオやゴールに合わせて最適なものを診断員が選択します。 |
| ブラックボックス診断 | ゴールやシナリオを設定せず、対象のネットワークに侵入し、権限昇格、データの持ち出しやサービス停止などの攻撃を行うことで、現状のセキュリティレベルと発生しうる被害を把握します。 |
制限事項
- ※診断対象は、ニフクラ上で稼働しているお客様のアプリケーションおよびシステム等に限ります。
- ※診断対象は、インターネットに公開しているシステムが対象となります。
- ※ニフクラ 禁止事項に抵触する作業内容は実施できません。ご利用の際は、あらかじめ内容をご確認ください。
- ※診断に関するご連絡は、株式会社イエラエセキュリティより、お申し込み時のご指定いただいたご連絡先へ行います。
- ※お申し込みから最短約1週間で着手可能です。
Webアプリケーション診断について
※24時間常に試験が可能なステージング環境をご準備いただく前提での実施となります。
ネットワーク診断/ペネトレーションテストについて
※24時間常に試験が可能な環境(本番環境推奨)をご準備いただく前提での実施となります。
診断結果に関するご質問/再試験について
※診断結果レポート提出より30日以内の期間中は、診断結果に関するご質問への回答と、再試験(同内容)の実施が可能です。
料金
| 初期費用(税抜) | 従量(税抜) | ||
|---|---|---|---|
| Webアプリケーション診断 | 200,000円/件 | 20画面 | 800,000円 |
| 50画面 | 2,000,000円 | ||
| ネットワーク診断 | ネットワーク診断 | 80,000円/1IP | |
| ペネトレーションテスト | 200,000円/1IP |
- ※初期費用は、お申し込み1回につき1件頂戴します。
例えば、「Webアプリ脆弱性診断」と「ネットワーク脆弱性診断」を同時にお申し込みされる場合の初期費用は、合わせて1件分といたします。
ただし、お申し込みフォームの送信が複数回にまたがる場合は、個別に初期費用をいただきます。 - ※20日までに納品が完了した案件は当月度ご利用分として料金が発生します。
(21日以降に納品が完了した案件は翌月度ご利用分として料金が発生します)
ご利用方法
お申し込み
本サービスのお申し込み、設定変更、解除については、下記フォームよりお申し込みください。
- ※@nifty IDとパスワードの入力が必要です。
- ※お申し込み時にログインされた@nifty IDでのご登録となります。
日程調整/ヒアリング
お申し込み受付以降、診断に関するご連絡は、株式会社イエラエセキュリティの貴社担当より行います。
お申し込み時にご指定いただいたご連絡先へメールにてご連絡し、診断日程を確定させていただきます。
- ※ヒアリングシートを事前に記入してご連絡をお待ちいただけるとスムーズです。
ヒアリングシートご記入
こちらのヒアリングシートをダウンロードしてご記入ください。
診断実施
診断を実施します。
- ※緊急レベルの脆弱性を検知した場合は、お申し込み時にご指定いただいたご連絡先へ速報をさせていただく場合があります。予めご了承をお願いします。
報告書提供・詳細ご報告
診断完了後、診断結果の報告書を作成し、ご提供いたします。
- ※診断結果レポート提出より30日以内の期間中は、診断結果に関するご質問への回答と、再試験(同内容)の実施が可能です。
注意事項
本サービスは、ニフクラ内での利用に限定されます。
お問い合わせについて
障害やトラブル時などのお問い合わせは、ニフクラにて24時間365日承っておりますが、対応時間は提供企業窓口に準じることとなりますので、あらかじめご了承ください。
ニフクラ ソリューションサービスについて
ニフクラパートナーがソリューションを提供し、ニフクラが販売するサービスです。
- ※本ページ記載の金額は、すべて税抜表示です。
- ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
- ※本ページの内容は、2019年7月1日時点の情報です。
