脆弱性診断サービス Powered by GMOイエラエ
脆弱性診断サービス Powered by GMOイエラエは、セキュリティ診断のプロフェッショナルカンパニーであるGMOサイバーセキュリティ byイエラエ株式会社のセキュリティエンジニアが、お客様のアプリケーションやシステムの脆弱性診断を実施するサービスです。
ニフクラ上に構築されたお客様のアプリケーションやシステム、ネットワークの脆弱性診断が可能です。
以下のようなお客様のご利用に最適です。定期的な脆弱性診断の実施を推奨いたします。
- アプリケーションやシステムの新規リリースや大規模改修を予定しているお客様
- 公開前テストの工数を削減したいお客様
- インターネットへ公開するシステムをお持ちのすべてのお客様
※スマホアプリ診断の場合は、診断端末にスマートフォン端末を含みます。
診断フロー
事前ヒアリングフォーム受付後、GMOサイバーセキュリティ byイエラエ株式会社の貴社担当エンジニアが直接ご連絡の上対応いたします。
※Webアプリケーション診断をご希望の場合、クローリングを実施の上、診断内容・日程を回答いたします。
脆弱性診断結果報告書
脆弱性の診断完了後に、指摘事項の詳細をまとめた報告書を提出いたします。
脆弱性診断結果報告書のサンプルをPDF形式でご用意しております。サンプルをご希望の方は、以下からダウンロードください。
導入事例について
特長
Webアプリケーション診断
SQLインジェクションやOSコマンドインジェクションなどの基本的な診断項目に加え、Webサービスの特性や使用されているアーキテクチャに合わせた脆弱性診断を行います。攻撃者と同じ視点を持ったセキュリティエンジニアが疑似攻撃を行うことによって、Webアプリに潜む脆弱性の有無を診断します。
スマホアプリ診断
iOSやAndroidアプリ等のスマホアプリにセキュリティ上の問題点がないか、JSSECのセキュアコーディングガイドやOWASPMobileTop10に基づきセキュリティ診断サービスを実施します。
リバースエンジニアリングによるアプリの挙動解析も可能です。
ネットワーク診断
診断対象ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。攻撃者の視点で実際に通信を行うブラックボックステスト方式の脆弱性診断サービスです。過負荷や診断による障害発生を避けることについても最大限配慮して診断作業を実施します。
仕様
Webアプリケーション診断について
Webアプリケーション診断に必要なクローリングは、お申し込みを前提に無料で実施させていただきます。
ただしクローリング実施後にお申し込みを辞退される場合、 GMOサイバーセキュリティ byイエラエ株式会社からの請求に基づき、一律55,000円(税込)を請求させて頂くことがございます。あらかじめご了承をお願いします。
クローリングとは
お客様のWebアプリケーションにアクセスし、診断対象となる動的リクエスト数のカウント、画面遷移方法の把握、検査手法の検討等を行うための網羅的な探査行為です。
実施後、カウントしたリクエストの一覧をご報告します。
Webアプリケーション診断項目
| 入出力処理 | クロスサイトスクリプティング |
|---|---|
| SQLインジェクション | |
| コマンドインジェクション | |
| ディレクトリトラバーサル | |
| ファイルアップロード | |
| HTTPヘッダインジェクション | |
| フィッシング詐欺サイトへの誘導 | |
| パラメータ改ざん | |
| メールの第三者中継 | |
| 認証 | ログインフォームに関する調査 |
| ログインエラーメッセージの調査 | |
| ログイン・個人情報の送受信に関する調査 | |
| アカウントロック機能 | |
| ログアウト機能 | |
| 認証の回避 | |
| 認可 | 権限昇格 |
| 権限のない情報へのアクセス | |
| セッション管理 | Cookieのsecure属性 |
| Cookieの有効期限 | |
| セッション固定 | |
| セッションの強制指定 | |
| クロスサイトリクエストフォージェリ | |
| Webサーバー設定 | 許可されているHTTPメソッド |
| サーバエラーメッセージ | |
| システム情報の開示 | |
| Web 2.0 | Flashコンテンツの脆弱性 |
| Ajaxコンテンツの脆弱性 | |
| 一般的な脆弱性 | 既知のソフトウェア脆弱性 |
| 強制ブラウジング | |
| ディレクトリリスティング |
スマホアプリ診断について
以下の2種類のプランがあります。
- ライトプラン(動的解析)
アプリを動作させた際に生成されるファイルやログの内容、発生する通信の中身を調査します。 - フルプラン(動的解析+静的解析)
ライトプランの内容に加え、リバースエンジニアリングしたソースコードから脆弱性を調査します。
必要に応じて実証コードを書き、想定した攻撃シナリオが成功するかを検証します。
スマホアプリ診断項目
| ライトプラン | フルプラン | ||
|---|---|---|---|
| 通信 | 意図しない通信 | ○ | ○ |
| 平文による秘密情報の送受信 | ○ | ○ | |
| SSL/TLS証明書検証の不備 | ○ | ○ | |
| データ・ログ | 平文による内部ストレージへの秘密情報保存 | ○ | ○ |
| データ改ざんによる不正行為 | ○ | ○ | |
| ファイルパーミッションの設定不備 ※Androidアプリのみ対象 |
○ | ○ | |
| 外部ストレージ(SDカード)への秘密情報保存 ※Androidアプリのみ対象 |
○ | ○ | |
| デバッグログへの秘密情報出力 | ○ | ○ | |
| 設計・実装 | コンテントプロバイダのアクセス制御不備 ※Androidアプリのみ対象 |
- | ○ |
| 公開Activity等からの重要情報の漏えい等 ※Androidアプリのみ対象 |
- | ○ | |
| WebView関連の脆弱性 | - | ○ | |
| 耐タンパー性の不足 | - | ○ | |
| アプリへの秘密情報埋め込み | - | ○ | |
※iOSアプリは、OS仕様により診断行為に対する制限が多く、診断の精度が下がる場合があります。
ソースコードをご提供頂いた場合は診断期間を短縮できる可能性があります。
ネットワーク診断について
対象ホストで稼働するネットワークサービスの脆弱性を列挙することで、現状のセキュリティレベルを把握します。
ネットワーク診断項目
| ネットワーク診断 | ||
|---|---|---|
| ホストのスキャン | ポートスキャン | ○ |
| 実行中のサービスの検出 | ○ | |
| ネットワークサービスの脆弱性 | DNSに関する調査 | ○ |
| メールサーバーに関する調査 | ○ | |
| FTPに関する調査 | ○ | |
| Windowsネットワークサービスに関する調査 | ○ | |
| SNMPに関する調査 | ○ | |
| SSHサーバに関する調査 | ○ | |
| データベースサーバーに関する調査 | ○ | |
| Webサーバーの脆弱性 | Webサーバーの脆弱性 | ○ |
| 各種OSの脆弱性 | Windowsの既知の脆弱性 | ○ |
| その他各種OSの既知の脆弱性 | ○ | |
| 悪意あるソフトウェア | バックドアの調査 | ○ |
| P2Pソフトウェアの調査 | ○ | |
| ネットワーク機器の脆弱性 | 各種ネットワーク機器の既知の脆弱性 | ○ |
| 認証サービスへの攻撃 | 認証サービスの検出 | ○ |
| 辞書攻撃/Joeアカウント検出 | ○ | |
制限事項
- ※診断対象は、ニフクラ上で稼働しているお客様のアプリケーションおよびシステム等に限ります。
- ※診断対象は、インターネットに公開しているシステムが対象となります。
- ※ニフクラ 禁止事項に抵触する作業内容は実施できません。ご利用の際は、あらかじめ内容をご確認ください。
- ※診断に関するご連絡は、GMOサイバーセキュリティ byイエラエ株式会社より、お申し込み時にご指定いただいたご連絡先へ行います。
- ※お申し込みから最短約1週間で着手可能です。診断内容、お客様環境によっては、診断期間が10~20営業日程度かかる可能性があります。
Webアプリケーション診断・スマホアプリ診断について
- ※24時間常に試験が可能なステージング環境をご準備いただく前提での実施となります。
- ※診断日はご指定いただけますが、診断時間の指定は行えませんのでご注意ください。
- ※診断中も作業していただくことは可能ですが、変更を加えた箇所の再診断は行えませんのでご注意ください。
ネットワーク診断について
- ※24時間常に試験が可能な環境(本番環境推奨)をご準備いただく前提での実施となります。
- ※診断日はご指定いただけますが、診断時間の指定は行えませんのでご注意ください。
- ※診断中も作業していただくことは可能ですが、変更を加えた箇所の再診断は行えませんのでご注意ください。
診断結果に関するご質問/再試験について
- ※脆弱性診断結果報告書の提出より30日以内の期間中は、診断結果に関するご質問への回答と、再試験(同内容)の実施が可能です。
料金
診断をご依頼いただいた場合の診断規模(数量)を詳しくご案内することが可能です。
無料の診断内容調整フォームをお気軽にご活用ください。
税抜料金は、以下からご確認いただけます。
初期費用
| 初期費用(税込) | |
|---|---|
| Webアプリケーション診断 | 132,000円/件 |
| スマホアプリ診断 | |
| ネットワーク診断 |
従量
| 従量(税込) | ||
|---|---|---|
| Webアプリケーション診断 | 330,000円/10リクエスト | |
| スマホアプリ診断 | ライトプラン | 550,000円/1OS |
| フルプラン | 1,100,000円/1OS | |
| ネットワーク診断 | 44,000円/1IP | |
- ※スマホアプリ診断の対応OSは、iOS、iPadOS、Androidです。上記は診断するOS1件あたりの価格です。
料金に関する注意事項
- ※Webアプリケーション診断に必要なクローリングは、お申し込みを前提に無料で実施させていただきます。
ただしクローリング実施後にお申し込みを辞退される場合、 GMOサイバーセキュリティ byイエラエ株式会社からの請求に基づき、一律55,000円(税込)を請求させて頂くことがございます。あらかじめご了承をお願いします。 - ※初期費用は、お申し込み1回につき1件頂戴します。
例)「Webアプリケーション診断」と「ネットワーク脆弱性診断」を同時にお申し込みされる場合の初期費用は、合わせて1件分といたします。
ただし、お申し込みフォームの送信が複数回にまたがる場合は、個別に初期費用をいただきます。 - ※20日までに納品が完了した案件は当月度ご利用分として料金が発生します。
(21日以降に納品が完了した案件は翌月度ご利用分として料金が発生します) - ※Webアプリケーション診断は10リクエスト単位で承っております。
例)25リクエストをご希望の場合、10リクエスト×3=30リクエストの料金(330,000円×3=990,000円)が発生いたします。
ご利用方法
本サービスのご利用を検討されるお客様は、最初にヒアリングシートをご記入ください。
※検討中の診断方法・診断環境などについてご記入いただきます。
事前ヒアリングフォームより、ヒアリングシートにご記入いただいた内容を基に診断規模を確認し、お申し込みに必要な診断の数量(リクエスト数・IP数)をご案内いたしますので、お気軽にご利用ください。調整した診断内容にご同意いただけましたらお申し込みください。
※診断内容、お客様環境によっては、診断期間が10~20営業日程度かかる可能性があります。
ヒアリングシートご記入
こちらのヒアリングシートをダウンロードしてご記入ください。
事前ヒアリングフォーム送信
本サービスを検討中のお客様は、以下の事前ヒアリングフォームよりお問い合わせください。
お問い合わせ受付以降、診断に関するご連絡は、GMOサイバーセキュリティ byイエラエ株式会社の貴社担当より行います。
ご指定いただいたご連絡先へメールが届きますので、該当する資料を送付ください。
- 事前にご記入いただいたヒアリングシート
- 診断対象システムの画面遷移図 ※Webアプリケーション診断のみ
- 診断対象システムのネットワーク構成図 ※ネットワーク診断のみ
- ※ニフクラIDとパスワードの入力が必要です。
- ※お申し込み時にログインされたニフクラIDでのご登録となります。
- ※この時点では正式なご契約は成立しておりません。
- ※正式にご契約いただく場合は、⑥の手順に沿ってお申し込みをお願いいたします。
クローリング日程調整(Webアプリケーション診断が含まれるお客様のみ)
お問い合わせ時にご指定いただいたご連絡先へメールにてご連絡し、クローリングの実施日程をご調整・ご連絡させていただきます。
クローリング実施(Webアプリケーション診断が含まれるお客様のみ)
※クローリングの実施期間中は、対象Webアプリケーションにアクセスできるよう事前にアクセス許可のご準備をお願いします。
診断内容・日程調整
事前ヒアリングフォームへの記載内容とクローリングの結果(Webアプリケーション診断のみ)より診断内容を回答・調整いたします。
また、診断内容より日程をご調整・ご連絡させていただきます。
- ※診断内容、お客様環境によってご希望の日程に沿えない場合がございます。
お申し込み
上記手順が完了しましたら、以下フォームより正式にお申し込みください。
お申し込みには以下情報が必要です。※GMOサイバーセキュリティ byイエラエ株式会社と事前にご調整いただきました情報をご記入ください。
- 診断内容
- 診断開始日
- 診断完了日
- 報告書納品日
- ※ニフクラIDとパスワードの入力が必要です。
- ※お申し込み時にログインされたニフクラIDでのご登録となります。
診断実施
診断を実施します。
- ※緊急レベルの脆弱性を検知した場合は、お申し込み時にご指定いただいたご連絡先へ速報をさせていただく場合があります。あらかじめご了承をお願いします。
報告書提供
診断完了後、診断結果の報告書を作成し、ご提供いたします。
また、報告書のご提供をもってサービスを提供完了といたします。
- ※脆弱性診断結果報告書の提出より30日以内の期間中は、診断結果に関するご質問への回答と、再試験(同内容)の実施が可能です。
よくある質問(FAQ)
脆弱性診断サービス Powered by GMOイエラエのよくある質問(FAQ)につきましては、以下をご確認ください。
注意事項
本サービスは、ニフクラ内での利用に限定されます。
お問い合わせについて
障害やトラブル時などのお問い合わせは、ニフクラにて24時間365日承っておりますが、対応時間は提供企業窓口に準じることとなりますので、あらかじめご了承ください。
ニフクラ ソリューションサービスについて
ニフクラパートナーがソリューションを提供し、ニフクラが販売するサービスです。
- ※本ページ記載の金額は、すべて税込表示です。
- ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
- ※本ページの内容は、2023年4月21日時点の情報です。
