Webアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮し、さまざまな項目について診断を行い、お客様のビジネスの安全性を脅かす要因への対策が適切に行われているかを診断します。Webブラウザを利用する一般的なWebアプリケーションだけでなく、SOAPを利用したWebサービスへの診断も行うことができます。

主要な部分は経験豊富な専門家が手作業(マニュアル)による診断を行い、一部診断ツールを補助的に利用します。これにより、お客様が独自に作り込んだアプリケーションであっても、潜在するセキュリティ上の問題のほとんどを発見することができます。

また、発見された問題に対して、具体的な対策方法をアドバイスし、適切な対策の実施を支援します。

【主な診断項目】

• ユーザ認証方式のチェック
  ユーザ認証を回避してログインされる危険性がないか、ログインIDやパスワードの推測・総当り攻撃への強度が十分かなどを診断します。
• セッション管理方式のチェック
  セッションハイジャックにより別ユーザになりすまされる危険性がないか、Cookieの設定が適切かなどを診断します。
• トランザクション処理のチェック
  権限のない機能を利用される危険性がないか、不正な実行順序や入力値によってシステムが悪用される危険性がないかなどを診断します。
• クロスサイトスクリプティング攻撃、SQLインジェクション攻撃への対策のチェック
  入力データが正しく検証されているか、データベースで不正な操作が行われる危険性がないかなどを診断します。
• 暗号化方式のチェック
  重要情報が暗号化されて送信されているか、暗号化の強度は十分かなどを診断します。
• ユーザ側のセキュリティへの配慮のチェック
  フィッシング詐欺による被害を受けにくい仕様になっているか、ユーザが安心してサイトを利用できるような仕様になっているかなどを診断します。
• XML処理固有のセキュリティ問題への対策のチェック
  SOAPを利用したWebサービスなど、XMLを取り扱うアプリケーションへの診断の場合には、XML処理固有のセキュリティ問題への対策が適切に行われているかを診断します。