脆弱性診断サービス Powered by イエラエセキュリティ
脆弱性診断サービス Powered by イエラエセキュリティは、セキュリティ診断のプロフェッショナルカンパニーである株式会社イエラエセキュリティのセキュリティエンジニアが、お客様のアプリケーションやシステムの脆弱性診断を実施するサービスです。
ニフクラ上に構築されたお客様のアプリケーションやシステム、ネットワークの脆弱性診断が可能です。
以下のようなお客様のご利用に最適です。定期的な脆弱性診断の実施を推奨いたします。
- アプリケーションやシステムの新規リリースや大規模改修を予定しているお客様
- 公開前テストの工数を削減したいお客様
- インターネットへ公開するシステムをお持ちのすべてのお客様
※スマホアプリ診断の場合は、診断端末にスマートフォン端末を含みます。
診断フロー
お申し込み受付後、株式会社イエラエセキュリティの貴社担当エンジニアが直接ご連絡の上対応いたします。
診断結果レポート
脆弱性の診断完了後に、指摘事項の詳細をまとめたレポートを納品いたします。
診断結果レポートのサンプルをPDF形式でご用意しております。サンプルをご希望の方は、フォームに必要事項をご記入の上ダウンロードください。
導入事例について
特長
Webアプリケーション診断
SQLインジェクションやOSコマンドインジェクションなどの基本的な診断項目に加え、Webサービスの特性や使用されているアーキテクチャに合わせた脆弱性診断を行います。攻撃者と同じ視点を持ったセキュリティエンジニアが疑似攻撃を行うことによって、Webアプリに潜む脆弱性の有無を診断します。
スマホアプリ診断
iOSやAndroidアプリ等のスマホアプリにセキュリティ上の問題点がないか、JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断サービスを実施します。
リバースエンジニアリングによるアプリの挙動解析も可能です。
ネットワーク診断
診断対象ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。攻撃者の視点で実際に通信を行うブラックボックステスト方式の脆弱性診断サービスです。過負荷や診断による障害発生を避けることについても最大限配慮して診断作業を実施します。
ペネトレーションテスト(項目固定型)
ペネトレーションテスト(侵入テスト)は、実際のハッカーによる攻撃を想定してセキュリティエンジニアがネットワークやシステムを診断します。
仕様
Webアプリケーション診断項目
| 入出力処理 | クロスサイトスクリプティング |
|---|---|
| SQLインジェクション | |
| コマンドインジェクション | |
| ディレクトリトラバーサル | |
| ファイルアップロード | |
| HTTPヘッダインジェクション | |
| フィッシング詐欺サイトへの誘導 | |
| パラメータ改ざん | |
| メールの第三者中継 | |
| 認証 | ログインフォームに関する調査 |
| ログインエラーメッセージの調査 | |
| ログイン・個人情報の送受信に関する調査 | |
| アカウントロック機能 | |
| ログアウト機能 | |
| 認証の回避 | |
| 認可 | 権限昇格 |
| 権限のない情報へのアクセス | |
| セッション管理 | Cookieのsecure属性 |
| Cookieの有効期限 | |
| セッション固定 | |
| セッションの強制指定 | |
| クロスサイトリクエストフォージェリ | |
| Webサーバー設定 | 許可されているHTTPメソッド |
| サーバエラーメッセージ | |
| システム情報の開示 | |
| Web 2.0 | Flashコンテンツの脆弱性 |
| Ajaxコンテンツの脆弱性 | |
| 一般的な脆弱性 | 既知のソフトウェア脆弱性 |
| 強制ブラウジング | |
| ディレクトリリスティング |
スマホアプリ診断について
以下の2種類のプランがあります。
- ライトプラン(動的解析)
アプリを動作させた際に生成されるファイルやログの内容、発生する通信の中身を調査します。 - フルプラン(動的解析+静的解析)
ライトプランの内容に加え、リバースエンジニアリングしたソースコードから脆弱性を調査します。
必要に応じて実証コードを書き、想定した攻撃シナリオが成功するかを検証します。
スマホアプリ診断項目
| ライトプラン | フルプラン | ||
|---|---|---|---|
| 通信 | 意図しない通信 | ○ | ○ |
| 平文による秘密情報の送受信 | ○ | ○ | |
| SSL/TLS証明書検証の不備 | ○ | ○ | |
| データ・ログ | 平文による内部ストレージへの秘密情報保存 | ○ | ○ |
| データ改ざんによる不正行為 | ○ | ○ | |
| ファイルパーミッションの設定不備 ※Androidアプリのみ対象 |
○ | ○ | |
| 外部ストレージ(SDカード)への秘密情報保存 ※Androidアプリのみ対象 |
○ | ○ | |
| デバッグログへの秘密情報出力 | ○ | ○ | |
| 設計・実装 | コンテントプロバイダのアクセス制御不備 ※Androidアプリのみ対象 |
- | ○ |
| 公開Activity等からの重要情報の漏えい等 ※Androidアプリのみ対象 |
- | ○ | |
| WebView関連の脆弱性 | - | ○ | |
| 耐タンパー性の不足 | - | ○ | |
| アプリへの秘密情報埋め込み | - | ○ | |
※iOSアプリは、OS仕様により診断行為に対する制限が多く、診断の精度が下がる場合があります。
ソースコードをご提供頂いた場合は診断期間を短縮できる可能性があります。
ネットワーク診断/ペネトレーションテスト(項目固定型)
| ネットワーク診断 | ペネトレーションテスト (項目固定型) |
||
|---|---|---|---|
| ホストのスキャン | ポートスキャン | ○ | ○ |
| 実行中のサービスの検出 | ○ | ○ | |
| ネットワークサービスの脆弱性 | DNSに関する調査 | ○ | ○ |
| メールサーバーに関する調査 | ○ | ○ | |
| FTPに関する調査 | ○ | ○ | |
| Windowsネットワークサービスに関する調査 | ○ | ○ | |
| SNMPに関する調査 | ○ | ○ | |
| SSHサーバに関する調査 | ○ | ○ | |
| データベースサーバーに関する調査 | ○ | ○ | |
| Webサーバーの脆弱性 | Webサーバーの脆弱性 | ○ | ○ |
| 各種OSの脆弱性 | Windowsの既知の脆弱性 | ○ | ○ |
| その他各種OSの既知の脆弱性 | ○ | ○ | |
| 悪意あるソフトウェア | バックドアの調査 | ○ | ○ |
| P2Pソフトウェアの調査 | ○ | ○ | |
| ネットワーク機器の脆弱性 | 各種ネットワーク機器の既知の脆弱性 | ○ | ○ |
| 認証サービスへの攻撃 | 認証サービスの検出 | ○ | ○ |
| 辞書攻撃/Joeアカウント検出 | ○ | ○ | |
| パスワード類推/総当たり攻撃 | ○ | ||
| オフラインパスワードクラック | ○ | ||
| 認証回避 | ○ | ||
| 権限昇格 | ○ | ||
| ファイル共有サービスへの攻撃 | 機密情報の取得 | ○ | |
| ネットワークへの攻撃 | 盗聴 | ○ | |
| 中間者攻撃 | ○ | ||
| 検出された脆弱性に対する攻撃 | 実害につながりうる攻撃の実行 | ○ | |
| Webアプリケーションへの攻撃 | ○ | ||
ネットワーク診断/ペネトレーションテスト(項目固定型)診断目的
| ネットワーク診断 | 対象ホストで稼働するネットワークサービスの脆弱性を列挙することで、現状のセキュリティレベルを把握します。 |
|---|---|
| ペネトレーションテスト(項目固定型) | ゴールやシナリオを設定せず、対象のネットワークに侵入し、権限昇格、データの持ち出しやサービス停止などの攻撃を行うことで、現状のセキュリティレベルと発生しうる被害を把握します。 |
ペネトレーションテスト(シナリオ/ゴール型)診断目的(要お問い合わせ)
| ペネトレーションテスト(シナリオ/ゴール型) | リスクシナリオ(ホストが攻撃者に乗っ取られた、従業員が攻撃を始めた、というようなインシデントの起点)や、ゴール(情報漏洩や特権獲得、サービス停止などの組織にとって避けたい被害)をあらかじめ定義して、診断を実施します。 これにより、被害に至るリスクと発生しうる被害を把握します。診断項目は、シナリオやゴールに合わせて最適なものを診断員が選択します。 |
|---|
※ペネトレーションテスト(シナリオ/ゴール型)をご希望の方は導入相談窓口までお問い合わせください。
制限事項
- ※診断対象は、ニフクラ上で稼働しているお客様のアプリケーションおよびシステム等に限ります。
- ※診断対象は、インターネットに公開しているシステムが対象となります。
- ※ニフクラ 禁止事項に抵触する作業内容は実施できません。ご利用の際は、あらかじめ内容をご確認ください。
- ※診断に関するご連絡は、株式会社イエラエセキュリティより、お申し込み時にご指定いただいたご連絡先へ行います。
- ※お申し込みから最短約1週間で着手可能です。
Webアプリケーション診断・スマホアプリ診断について
- ※24時間常に試験が可能なステージング環境をご準備いただく前提での実施となります。
- ※診断日はご指定いただけますが、診断時間の指定は行えませんのでご注意ください。
- ※診断中も作業していただくことは可能ですが、変更を加えた箇所の再診断は行えませんのでご注意ください。
ネットワーク診断/ペネトレーションテスト(項目固定型)
- ※24時間常に試験が可能な環境(本番環境推奨)をご準備いただく前提での実施となります。
- ※診断日はご指定いただけますが、診断時間の指定は行えませんのでご注意ください。
- ※診断中も作業していただくことは可能ですが、変更を加えた箇所の再診断は行えませんのでご注意ください。
診断結果に関するご質問/再試験について
- ※診断結果レポート提出より30日以内の期間中は、診断結果に関するご質問への回答と、再試験(同内容)の実施が可能です。
料金
診断をご依頼いただいた場合の診断規模(数量)を詳しくご案内することが可能です。
無料の診断内容調整フォームをお気軽にご活用ください。
税抜料金は、以下からご確認いただけます。
| 初期費用(税込) | 従量(税込) | ||
|---|---|---|---|
| Webアプリケーション診断 | 132,000円/件 | 20リクエスト | 660,000円 |
| 50リクエスト | 1,650,000円 | ||
| スマホアプリ診断 | ライトプラン | 550,000円/1OS | |
| フルプラン | 1,100,000円/1OS | ||
| ネットワーク診断 | ネットワーク診断 | 44,000円/1IP | |
| ペネトレーションテスト(項目固定型) | 132,000円/1IP |
※スマホアプリ診断の対応OSは、iOS、iPadOS、Androidです。上記は診断するOS1件あたりの価格です。
料金に関する注意事項
- ※お申し込み後、診断日程調整のご連絡まで5営業日程度かかります。余裕を持ってお申し込みください。申請受付後、担当者よりご連絡させていただきます。
- ※初期費用は、お申し込み1回につき1件頂戴します。
例えば、「Webアプリ脆弱性診断」と「ネットワーク脆弱性診断」を同時にお申し込みされる場合の初期費用は、合わせて1件分といたします。
ただし、お申し込みフォームの送信が複数回にまたがる場合は、個別に初期費用をいただきます。 - ※20日までに納品が完了した案件は当月度ご利用分として料金が発生します。
(21日以降に納品が完了した案件は翌月度ご利用分として料金が発生します) - ※Webアプリケーション診断は20リクエスト単位または50リクエスト単位で承っております。
例)30リクエストをご希望の場合、20リクエスト×2=40リクエストの料金(660,000円×2=132,000円)が発生いたします。
ご利用方法
本サービスのご利用を検討されるお客様は、最初にヒアリングシートをご記入ください。
※検討中の診断方法・診断環境などについてご記入いただきます。
診断内容調整フォームより、ヒアリングシートにご記入いただいた内容を基に診断規模を確認し、お申し込みに必要な診断の数量(リクエスト数・IP数)をご案内いたしますので、お気軽にご利用ください。調整した診断内容にご同意いただけましたらお申し込みください。
ヒアリングシートご記入
こちらのヒアリングシートをダウンロードしてご記入ください。
診断内容調整フォームの送信
本サービスを検討中のお客様は、以下のフォームよりお問い合わせください。診断内容を回答いたします。
- ※フォーム送信後、ご指定いただいたご連絡先へメールが届きますので、事前にご記入いただいたヒアリングシートを添付してご返信ください。
- ※アプリケーション診断をご希望のお客様は診断対象システムの画面遷移図もメールへ添付ください。
- ※ネットワーク診断・ペネトレーションテスト(項目固定型)をご希望のお客様は診断対象システムのネットワーク構成図もメールへ添付ください。
- ※この時点では正式なご契約は成立しておりません。
- ※正式にご契約いただく場合は、③の手順に沿ってお申し込みをお願いいたします。
お申し込み
診断内容の回答メールに記載のお申込みフォームより正式にご契約いただきます。
変更・解除を行う場合もこちらのフォームより申請いただけます。
- ※ニフクラIDとパスワードの入力が必要です。
- ※お申し込み時にログインされたニフクラIDでのご登録となります。
診断日程調整
お申し込み受付以降、診断に関するご連絡は、株式会社イエラエセキュリティの貴社担当より行います。
お申し込み時にご指定いただいたご連絡先へメールにてご連絡し、診断日程を確定させていただきます。
診断実施
診断を実施します。
- ※緊急レベルの脆弱性を検知した場合は、お申し込み時にご指定いただいたご連絡先へ速報をさせていただく場合があります。あらかじめご了承をお願いします。
報告書提供・詳細ご報告
診断完了後、診断結果の報告書を作成し、ご提供いたします。
- ※診断結果レポート提出より30日以内の期間中は、診断結果に関するご質問への回答と、再試験(同内容)の実施が可能です。
よくある質問(FAQ)
脆弱性診断サービス Powered by イエラエセキュリティのよくある質問(FAQ)につきましては、以下をご確認ください。
注意事項
本サービスは、ニフクラ内での利用に限定されます。
お問い合わせについて
障害やトラブル時などのお問い合わせは、ニフクラにて24時間365日承っておりますが、対応時間は提供企業窓口に準じることとなりますので、あらかじめご了承ください。
ニフクラ ソリューションサービスについて
ニフクラパートナーがソリューションを提供し、ニフクラが販売するサービスです。
- ※本ページ記載の金額は、すべて税込表示です。
- ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
- ※本ページの内容は、2021年7月27日時点の情報です。
